Delen via


Beveiliging in Microsoft Fabric

Microsoft Fabric is een SaaS-platform (Software as a Service) waarmee gebruikers gegevens kunnen ophalen, maken, delen en visualiseren.

Fabric biedt als SaaS-service een compleet beveiligingspakket voor het hele platform. Fabric verwijdert de kosten en verantwoordelijkheid voor het onderhouden van uw beveiligingsoplossing en brengt deze over naar de cloud. Met Fabric kunt u de expertise en resources van Microsoft gebruiken om uw gegevens veilig te houden, beveiligingsproblemen te patchen, bedreigingen te bewaken en te voldoen aan regelgeving. Met Fabric kunt u ook uw beveiligingsinstellingen beheren, beheren en controleren, in overeenstemming met uw veranderende behoeften en eisen.

Terwijl u uw gegevens naar de cloud brengt en deze gebruikt met verschillende analytische ervaringen, zoals Power BI, Data Factory en de volgende generatie Synapse, zorgt Microsoft ervoor dat ingebouwde beveiligings- en betrouwbaarheidsfuncties uw data-at-rest en in transit beveiligen. Microsoft zorgt er ook voor dat uw gegevens kunnen worden hersteld in gevallen van storingen of rampen in de infrastructuur.

Infrastructuurbeveiliging is:

  • Altijd ingeschakeld : elke interactie met Fabric wordt standaard versleuteld en geverifieerd met behulp van Microsoft Entra-id. Alle communicatie tussen Fabric-ervaringen gaat via het Microsoft backbone-internet. Data-at-rest wordt automatisch versleuteld opgeslagen. Als u de toegang tot Fabric wilt reguleren, kunt u extra beveiligingsfuncties toevoegen, zoals Privékoppelingen of voorwaardelijke toegang van Entra. Fabric kan ook verbinding maken met gegevens die worden beveiligd door een firewall of een particulier netwerk met vertrouwde toegang.

  • Compatibel : Fabric heeft standaard gegevenssoevereine met meerdere geo-capaciteiten. Fabric ondersteunt ook een breed scala aan nalevingsstandaarden.

  • Beheerbaar - Fabric wordt geleverd met een set governancehulpprogramma's zoals gegevensherkomst, labels voor gegevensbescherming, preventie van gegevensverlies en purview-integratie.

  • Configureerbaar : u kunt Fabric-beveiliging configureren in overeenstemming met uw organisatiebeleid.

  • Ontwikkelend : Microsoft verbetert voortdurend de beveiliging van infrastructuur door nieuwe functies en besturingselementen toe te voegen.

Verifiëren

Microsoft Fabric is een SaaS-platform, zoals vele andere Microsoft-services zoals Azure, Microsoft Office, OneDrive en Dynamics. Al deze Microsoft SaaS-services, waaronder Fabric, gebruiken Microsoft Entra ID als hun cloudidentiteitsprovider. Microsoft Entra ID helpt gebruikers snel en eenvoudig verbinding te maken met deze services vanaf elk apparaat en elk netwerk. Elke aanvraag om verbinding te maken met Fabric wordt geverifieerd met Microsoft Entra ID, zodat gebruikers veilig verbinding kunnen maken met Fabric vanaf hun bedrijfskantoor, wanneer ze thuis werken of vanaf een externe locatie.

Inzicht in netwerkbeveiliging

Fabric is een SaaS-service die wordt uitgevoerd in de Microsoft-cloud. Sommige scenario's omvatten het maken van verbinding met gegevens die zich buiten het Fabric-platform bevinden. U kunt bijvoorbeeld een rapport bekijken vanuit uw eigen netwerk of verbinding maken met gegevens die zich in een andere service bevinden. Interacties binnen Fabric maken gebruik van het interne Microsoft-netwerk en verkeer buiten de service wordt standaard beveiligd. Zie Gegevens die onderweg zijn voor meer informatie en een gedetailleerde beschrijving.

Netwerkbeveiliging binnenkomende verbindingen

Mogelijk wilt uw organisatie het netwerkverkeer dat binnenkomt in Fabric beperken en beveiligen op basis van de vereisten van uw bedrijf. Met voorwaardelijke toegang en privékoppelingen voor Microsoft Entra ID kunt u de juiste binnenkomende oplossing voor uw organisatie selecteren.

Voorwaardelijke toegang voor Microsoft Entra-id

Microsoft Entra ID biedt Fabric voorwaardelijke toegang waarmee u de toegang tot Fabric op elke verbinding kunt beveiligen. Hier volgen enkele voorbeelden van toegangsbeperkingen die u kunt afdwingen met behulp van voorwaardelijke toegang.

  • Definieer een lijst met IP-adressen voor binnenkomende connectiviteit met Fabric.

  • Meervoudige verificatie (MFA) gebruiken.

  • Beperk verkeer op basis van parameters zoals land van herkomst of apparaattype.

Zie Voorwaardelijke toegang in Fabric om voorwaardelijke toegang te configureren.

Zie de basisprincipes van Microsoft Fabric-beveiliging voor meer informatie over verificatie in Fabric.

Privékoppelingen maken beveiligde connectiviteit met Fabric mogelijk door de toegang tot uw Fabric-tenant te beperken vanuit een virtueel Azure-netwerk (VNet) en alle openbare toegang te blokkeren. Dit zorgt ervoor dat alleen netwerkverkeer van dat VNet toegang heeft tot Infrastructuurfuncties zoals Notebooks, Lakehouses, datawarehouses en databases in uw tenant.

Zie Privékoppelingen instellen en gebruiken voor het configureren van privékoppelingen in Fabric.

Netwerkbeveiliging uitgaande verbindingen

Fabric heeft een set hulpprogramma's waarmee u verbinding kunt maken met externe gegevensbronnen en die gegevens op een veilige manier in Fabric kunt overbrengen. In deze sectie vindt u verschillende manieren om gegevens uit een beveiligd netwerk in fabric te importeren en er verbinding mee te maken.

Toegang tot vertrouwde werkruimten

Met Fabric hebt u veilig toegang tot Azure Data Lake Gen 2-accounts met firewall. Fabric-werkruimten met een werkruimte-id hebben veilig toegang tot Azure Data Lake Gen 2-accounts waarvoor openbare netwerktoegang is ingeschakeld, vanuit geselecteerde virtuele netwerken en IP-adressen. U kunt de toegang tot ADLS Gen 2 beperken tot specifieke Fabric-werkruimten. Zie Toegang tot vertrouwde werkruimten voor meer informatie.

Notitie

Identiteiten van infrastructuurwerkruimten kunnen alleen worden gemaakt in werkruimten die zijn gekoppeld aan een Fabric F SKU-capaciteit. Zie Een Microsoft Fabric-abonnement kopen voor meer informatie over het kopen van een Fabric-abonnement.

Beheerde privé-eindpunten

Beheerde privé-eindpunten maken beveiligde verbindingen met gegevensbronnen mogelijk, zoals Azure SQL-databases, zonder ze bloot te stellen aan het openbare netwerk of complexe netwerkconfiguraties te vereisen.

Beheerde virtuele netwerken

Beheerde virtuele netwerken zijn virtuele netwerken die worden gemaakt en beheerd door Microsoft Fabric voor elke Fabric-werkruimte. Beheerde virtuele netwerken bieden netwerkisolatie voor Fabric Spark-workloads, wat betekent dat de rekenclusters worden geïmplementeerd in een toegewezen netwerk en geen deel meer uitmaken van het gedeelde virtuele netwerk.

Beheerde virtuele netwerken maken ook netwerkbeveiligingsfuncties mogelijk, zoals beheerde privé-eindpunten, en ondersteuning voor private link voor Data-engineer en Datawetenschap items in Microsoft Fabric die gebruikmaken van Apache Spark.

Gegevensgateway

Als u verbinding wilt maken met on-premises gegevensbronnen of een gegevensbron die mogelijk wordt beveiligd door een firewall of een virtueel netwerk, kunt u een van de volgende opties gebruiken:

  • On-premises gegevensgateway : de gateway fungeert als een brug tussen uw on-premises gegevensbronnen en Fabric. De gateway is geïnstalleerd op een server in uw netwerk en stelt Fabric in staat om via een beveiligd kanaal verbinding te maken met uw gegevensbronnen zonder dat u poorten hoeft te openen of wijzigingen in uw netwerk hoeft aan te brengen.

  • Gegevensgateway voor virtueel netwerk (VNet): met de VNet-gateway kunt u vanuit Microsoft Cloud-services verbinding maken met uw Azure-gegevensservices binnen een VNet, zonder dat er een on-premises gegevensgateway nodig is.

Verbinding maken met OneLake vanuit een bestaande service

U kunt verbinding maken met Fabric met behulp van uw bestaande PaaS-service (Platform as a Service). Voor Synapse en Azure Data Factory (ADF) kunt u Azure Integration Runtime (IR) of een beheerd virtueel netwerk van Azure Data Factory gebruiken. U kunt ook verbinding maken met deze services en andere services, zoals toewijzingsgegevensstromen, Synapse Spark-clusters, Databricks Spark-clusters en Azure HDInsight met behulp van OneLake-API's.

Azure-servicetags

Gebruik servicetags om gegevens op te nemen zonder gegevensgateways te gebruiken, uit gegevensbronnen die zijn geïmplementeerd in een virtueel Azure-netwerk, zoals Azure SQL Virtual Machines (VM's), Azure SQL Managed Instance (MI) en REST API's. U kunt ook servicetags gebruiken om verkeer van een virtueel netwerk of een Azure-firewall op te halen. Servicetags kunnen bijvoorbeeld uitgaand verkeer naar Fabric toestaan, zodat een gebruiker op een VIRTUELE machine verbinding kan maken met Fabric SQL-verbindingsreeks s vanuit SSMS, terwijl toegang tot andere openbare internetresources is geblokkeerd.

IP-acceptatielijsten

Als u gegevens hebt die zich niet in Azure bevinden, kunt u een IP-acceptatielijst inschakelen in het netwerk van uw organisatie om verkeer naar en van Fabric toe te staan. Een IP-acceptatielijst is handig als u gegevens wilt ophalen uit gegevensbronnen die geen ondersteuning bieden voor servicetags, zoals on-premises gegevensbronnen. Met deze snelkoppelingen kunt u gegevens ophalen zonder deze naar OneLake te kopiëren met behulp van een Lakehouse SQL-analyse-eindpunt of Direct Lake.

U kunt de lijst met Fabric-IP's ophalen uit servicetags on-premises. De lijst is beschikbaar als een JSON-bestand of programmatisch met REST API's, PowerShell en Azure CLI (Opdrachtregelinterface).

Beveiligde gegevens

In Fabric worden alle gegevens die zijn opgeslagen in OneLake in rust versleuteld. Alle data-at-rest worden opgeslagen in uw thuisregio of in een van uw capaciteiten in een externe regio van uw keuze, zodat u kunt voldoen aan de voorschriften voor de soevereiniteit van data-at-rest. Zie de basisprincipes van Microsoft Fabric-beveiliging voor meer informatie.

Inzicht in tenants in meerdere geografische gebieden

Veel organisaties hebben een wereldwijde aanwezigheid en vereisen services in meerdere Azure-geografische gebieden. Een bedrijf kan bijvoorbeeld zijn hoofdkantoor hebben in de Verenigde Staten, terwijl het zaken doet in andere geografische gebieden, zoals Australië. Om te voldoen aan lokale regelgeving, moeten bedrijven met een wereldwijde aanwezigheid ervoor zorgen dat gegevens in rust blijven opgeslagen in verschillende regio's. In Fabric wordt dit multi-geo genoemd.

De uitvoeringslaag voor query's, querycaches en itemgegevens die zijn toegewezen aan een werkruimte met meerdere geografische gebieden, blijven in de Azure-geografie van het maken ervan. Sommige metagegevens en verwerking worden echter in rust opgeslagen in de geografie van de tenant.

Fabric maakt deel uit van een groter Microsoft-ecosysteem. Als uw organisatie al andere cloudabonnementservices gebruikt, zoals Azure, Microsoft 365 of Dynamics 365, werkt Fabric binnen dezelfde Microsoft Entra-tenant. Uw organisatiedomein (bijvoorbeeld contoso.com) is gekoppeld aan Microsoft Entra-id. Net als alle Microsoft-cloudservices.

Fabric zorgt ervoor dat uw gegevens veilig zijn in verschillende regio's wanneer u werkt met verschillende tenants met meerdere capaciteiten in een aantal geografische gebieden.

Toegang tot gegevens

Infrastructuur beheert de toegang tot gegevens met behulp van werkruimten. In werkruimten worden gegevens weergegeven in de vorm van Fabric-items en kunnen gebruikers items (gegevens) niet weergeven of gebruiken, tenzij u hen toegang geeft tot de werkruimte. Meer informatie over werkruimte- en itemmachtigingen vindt u in het machtigingsmodel.

Werkruimterollen

Werkruimtetoegang wordt vermeld in de onderstaande tabel. Het omvat werkruimterollen en Infrastructuur en OneLake-beveiliging. Gebruikers met een viewerrol kunnen SQL-query's, Data Analysis Expressions (DAX) of Multidimensional Expressions (MDX) uitvoeren, maar ze hebben geen toegang tot Fabric-items of een notebook.

Role Toegang tot werkruimte Toegang tot OneLake
Beheerder, lid en inzender Kan alle items in de werkruimte gebruiken
Kijker Kan alle items in de werkruimte zien

Items delen

U kunt Fabric-items delen met gebruikers in uw organisatie die geen werkruimterol hebben. Delen van items biedt beperkte toegang, zodat gebruikers alleen toegang hebben tot het gedeelde item in de werkruimte.

Toegang beperken

U kunt de toegang van viewer tot gegevens beperken met behulp van beveiliging op rijniveau (RLS), beveiliging op kolomniveau (CLS) en BEVEILIGING op objectniveau (OLS). Met RLS, CLS en OLS kunt u gebruikersidentiteiten maken die toegang hebben tot bepaalde delen van uw gegevens, en sql-resultaten beperken die alleen retourneren waartoe de identiteit van de gebruiker toegang heeft.

U kunt RLS ook toevoegen aan een DirectLake-gegevensset. Als u beveiliging definieert voor ZOWEL SQL als DAX, valt DirectLake terug naar DirectQuery voor tabellen met RLS in SQL. In dergelijke gevallen zijn DAX- of MDX-resultaten beperkt tot de identiteit van de gebruiker.

Als u rapporten beschikbaar wilt maken met behulp van een DirectLake-gegevensset met RLS zonder directQuery-terugval, gebruikt u direct gegevensset delen of apps in Power BI. Met apps in Power BI kunt u toegang verlenen tot rapporten zonder viewertoegang. Dit soort toegang betekent dat de gebruikers sql niet kunnen gebruiken. Als u DirectLake wilt inschakelen om de gegevens te lezen, moet u de gegevensbronreferentie van Single sign-on (SSO) overschakelen naar een vaste identiteit die toegang heeft tot de bestanden in het lake.

Gegevens beveiligen

Fabric ondersteunt vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging. Dit zijn de labels, zoals Algemeen, Vertrouwelijk en Zeer vertrouwelijk, die veel worden gebruikt in Microsoft-Office-app s zoals Word, PowerPoint en Excel om gevoelige informatie te beschermen. In Fabric kunt u items classificeren die gevoelige gegevens bevatten met behulp van dezelfde vertrouwelijkheidslabels. De vertrouwelijkheidslabels volgen vervolgens de gegevens automatisch van item naar item terwijl deze door Fabric stromen, helemaal van gegevensbron naar zakelijke gebruiker. Het vertrouwelijkheidslabel volgt zelfs wanneer de gegevens worden geëxporteerd naar ondersteunde indelingen zoals PBIX, Excel, PowerPoint en PDF, zodat uw gegevens beveiligd blijven. Alleen geautoriseerde gebruikers kunnen het bestand openen. Zie Governance en naleving in Microsoft Fabric voor meer informatie.

U kunt Microsoft Purview gebruiken om u te helpen bij het beheren, beveiligen en beheren van uw gegevens. Met Microsoft Purview en Fabric kunt u uw gegevens opslaan, analyseren en beheren vanaf één locatie, de Microsoft Purview-hub.

Gegevens herstellen

Infrastructuurgegevenstolerantie zorgt ervoor dat uw gegevens beschikbaar zijn als er een noodgeval is. Met Fabric kunt u ook uw gegevens herstellen in geval van een noodgeval, herstel na noodgevallen. Zie Betrouwbaarheid in Microsoft Fabric voor meer informatie.

Infrastructuur beheren

Als beheerder in Fabric kunt u de mogelijkheden voor de hele organisatie beheren. Fabric maakt het delegeren van de beheerdersrol mogelijk voor capaciteiten, werkruimten en domeinen. Door beheerdersverantwoordelijkheden aan de juiste personen te delegeren, kunt u een model implementeren waarmee verschillende belangrijke beheerders algemene Infrastructuurinstellingen in de hele organisatie kunnen beheren, terwijl andere beheerders die verantwoordelijk zijn voor instellingen die betrekking hebben op specifieke gebieden.

Met behulp van verschillende hulpprogramma's kunnen beheerders ook belangrijke fabricaspecten bewaken , zoals capaciteitsverbruik.

Auditlogboeken

Volg de instructies in Gebruikersactiviteiten bijhouden in Microsoft Fabric om uw auditlogboeken weer te geven. U kunt ook verwijzen naar de lijst Met bewerkingen om te zien welke activiteiten beschikbaar zijn om te zoeken in de auditlogboeken.

Functies

Bekijk deze sectie voor een lijst met enkele van de beveiligingsfuncties die beschikbaar zijn in Microsoft Fabric.

Mogelijkheid Beschrijving
Voorwaardelijke toegang Uw apps beveiligen met behulp van Microsoft Entra-id
Lockbox Bepalen hoe Microsoft-technici toegang hebben tot uw gegevens
Infrastructuur- en OneLake-beveiliging Meer informatie over het beveiligen van uw gegevens in Fabric en OneLake.
Flexibiliteit Betrouwbaarheid en regionale tolerantie met Azure-beschikbaarheidszones
Servicetags Een Azure SQL Managed Instance (MI) inschakelen om binnenkomende verbindingen vanuit Microsoft Fabric toe te staan