Delen via

End-to-end-beveiligingsscenario van Microsoft Fabric

  • Artikel

Beveiliging is een belangrijk aspect van een oplossing voor gegevensanalyse, met name wanneer het gevoelige of vertrouwelijke gegevens betreft. Daarom biedt Microsoft Fabric een uitgebreide set beveiligingsfuncties waarmee u uw data-at-rest en in transit kunt beveiligen, evenals de toegang en machtigingen voor uw gebruikers en toepassingen kunt beheren.

In dit artikel vindt u informatie over beveiligingsconcepten en -functies van Fabric waarmee u uw eigen analytische oplossing met Fabric kunt bouwen.

Achtergrond

In dit artikel wordt een scenario beschreven waarin u een data engineer bent die werkt voor een gezondheidszorgorganisatie in de Verenigde Staten. De organisatie verzamelt en analyseert patiëntgegevens die afkomstig zijn van verschillende systemen, waaronder elektronische gezondheidsrecords, labresultaten, verzekeringsclaims en draagbare apparaten.

U bent van plan om een lakehouse te bouwen met behulp van de medalsight-architectuur in Fabric, die uit drie lagen bestaat: brons, zilver en goud.

  • De bronslaag slaat de onbewerkte gegevens op zodra deze afkomstig zijn uit de gegevensbronnen.
  • De zilveren laag past controles en transformaties van gegevenskwaliteit toe om de gegevens voor te bereiden op analyse.
  • De gouden laag biedt geaggregeerde en verrijkte gegevens voor rapportage en visualisatie.

Hoewel sommige gegevensbronnen zich in uw on-premises netwerk bevinden, bevinden anderen zich achter firewalls en vereisen ze beveiligde, geverifieerde toegang. Er zijn ook enkele gegevensbronnen die worden beheerd in Azure, zoals Azure SQL Database en Azure Storage. U moet verbinding maken met deze Azure-gegevensbronnen op een manier die geen gegevens beschikbaar maakt op het openbare internet.

U hebt besloten om Fabric te gebruiken, omdat deze uw gegevens veilig kan opnemen, opslaan, verwerken en analyseren in de cloud. Het is belangrijk dat dit gebeurt terwijl het voldoet aan de voorschriften van uw branche en beleid van uw organisatie.

Omdat Fabric Software as a Service (SaaS) is, hoeft u geen afzonderlijke resources in te richten, zoals opslag- of rekenresources. U hebt alleen een Fabric-capaciteit nodig.

U moet vereisten voor gegevenstoegang instellen. U moet er met name voor zorgen dat alleen u en uw mede data engineers toegang hebben tot de gegevens in de brons- en zilverlagen van het lakehouse. In deze lagen bent u van plan om gegevens op te schonen, te valideren, te transformeren en te verrijken. U moet ook de toegang tot de gegevens in de gouden laag beperken. Alleen geautoriseerde gebruikers, waaronder gegevensanalisten en zakelijke gebruikers, moeten toegang hebben tot de gouden laag. Ze vereisen deze toegang om de gegevens te gebruiken voor verschillende analytische doeleinden, zoals rapportage, machine learning en predictive analytics. Gegevenstoegang moet verder worden beperkt door de rol en afdeling van de gebruiker.

Verbinding maken met Fabric (binnenkomende beveiliging)

U stelt eerst binnenkomende beveiliging in, die betrekking heeft op hoe u en andere gebruikers zich aanmelden en toegang hebben tot Fabric.

Omdat Fabric wordt geïmplementeerd in een Microsoft Entra-tenant, worden verificatie en autorisatie verwerkt door Microsoft Entra. U meldt zich aan met een Microsoft Entra-organisatieaccount (werk- of schoolaccount). Vervolgens bekijkt u hoe andere gebruikers verbinding maken met Fabric.

De Microsoft Entra-tenant is een grens voor identiteitsbeveiliging die onder het beheer van uw IT-afdeling valt. Binnen deze beveiligingsgrens wordt het beheer van Microsoft Entra-objecten (zoals gebruikersaccounts) en de configuratie van tenantbrede instellingen uitgevoerd door uw IT-beheerders. Net als bij elke SaaS-service is fabric tenants logisch geïsoleerd. Gegevens en resources in uw tenant kunnen nooit worden geopend door andere tenants, tenzij u ze expliciet machtigt om dit te doen.

Dit is wat er gebeurt wanneer een gebruiker zich aanmeldt bij Fabric.

Diagram toont een weergave op hoog niveau van de infrastructuurbeveiligingsarchitectuur. Items in het diagram worden beschreven in de volgende tabel.

Artikel Beschrijving
De gebruiker opent een browser (of een clienttoepassing) en meldt zich aan bij de Fabric-portal.
De gebruiker wordt onmiddellijk omgeleid naar de Microsoft Entra-id en moet worden geverifieerd. Verificatie controleert of het de juiste persoon is die zich aanmeldt.
Nadat de verificatie is geslaagd, ontvangt de webfront-end de aanvraag van de gebruiker en levert de front-endinhoud (HTML en CSS) vanaf de dichtstbijzijnde locatie. De aanvraag wordt ook doorgestuurd naar het metagegevensplatform en het back-endcapaciteitsplatform.
Het metagegevensplatform, dat zich in de basisregio van uw tenant bevindt, slaat de metagegevens van uw tenant op, zoals werkruimten en besturingselementen voor toegang. Dit platform zorgt ervoor dat de gebruiker gemachtigd is voor toegang tot de relevante werkruimten en Fabric-items.
Het back-endcapaciteitsplatform voert rekenbewerkingen uit en slaat uw gegevens op. Deze bevindt zich in de capaciteitsregio. Wanneer een werkruimte is toegewezen aan infrastructuurcapaciteit, worden alle gegevens die zich in de werkruimte bevinden, inclusief de Data Lake OneLake, opgeslagen en verwerkt in de capaciteitsregio.

Het metagegevensplatform en het back-endcapaciteitsplatform worden elk uitgevoerd in beveiligde virtuele netwerken. Deze netwerken maken een reeks beveiligde eindpunten beschikbaar op internet, zodat ze aanvragen van gebruikers en andere services kunnen ontvangen. Naast deze eindpunten worden services beveiligd door netwerkbeveiligingsregels die de toegang vanaf het openbare internet blokkeren.

Wanneer gebruikers zich aanmelden bij Fabric, kunt u andere beveiligingslagen afdwingen. Op die manier is uw tenant alleen toegankelijk voor bepaalde gebruikers en wanneer aan andere voorwaarden, zoals netwerklocatie en apparaatnaleving, wordt voldaan. Deze beveiligingslaag wordt binnenkomende beveiliging genoemd.

In dit scenario bent u verantwoordelijk voor gevoelige patiëntgegevens in Fabric. Uw organisatie heeft dus verplicht dat alle gebruikers die toegang hebben tot Fabric meervoudige verificatie (MFA) moeten uitvoeren en dat ze zich in het bedrijfsnetwerk moeten bevinden. Het is niet voldoende om de gebruikersidentiteit te beveiligen.

Uw organisatie biedt gebruikers ook flexibiliteit doordat ze vanaf elke locatie kunnen werken en hun persoonlijke apparaten kunnen gebruiken. Omdat Microsoft Intune BYOD (Bring Your Own Device) ondersteunt, registreert u goedgekeurde gebruikersapparaten in Intune.

Bovendien moet u ervoor zorgen dat deze apparaten voldoen aan het organisatiebeleid. Deze beleidsregels vereisen dat apparaten alleen verbinding kunnen maken wanneer het meest recente besturingssysteem is geïnstalleerd en de nieuwste beveiligingspatches. U stelt deze beveiligingsvereisten in met behulp van voorwaardelijke toegang van Microsoft Entra.

Voorwaardelijke toegang biedt verschillende manieren om uw tenant te beveiligen. U kunt:

In het geval dat u uw hele Fabric-tenant moet vergrendelen, kunt u een virtueel netwerk gebruiken en openbare internettoegang blokkeren. Toegang tot Fabric is vervolgens alleen toegestaan vanuit dat beveiligde virtuele netwerk. Deze vereiste wordt ingesteld door privékoppelingen in te schakelen op tenantniveau voor Fabric. Het zorgt ervoor dat alle Fabric-eindpunten worden omgezet in een privé-IP-adres in uw virtuele netwerk, inclusief toegang tot al uw Power BI-rapporten. (Het inschakelen van privé-eindpunten heeft invloed op veel Fabric-items, dus lees dit artikel grondig voordat u ze inschakelt.)

Beveiligde toegang tot gegevens buiten Fabric (uitgaande beveiliging)

Vervolgens stelt u uitgaande beveiliging in, die betrekking heeft op veilig toegang tot gegevens achter firewalls of privé-eindpunten.

Uw organisatie heeft een aantal gegevensbronnen die zich in uw on-premises netwerk bevinden. Omdat deze gegevensbronnen zich achter firewalls bevinden, vereist Fabric beveiligde toegang. Als u fabric wilt toestaan om veilig verbinding te maken met uw on-premises gegevensbron, installeert u een on-premises gegevensgateway.

De gateway kan worden gebruikt door Data Factory-gegevensstromen en gegevenspijplijnen om de on-premises gegevens op te nemen, voor te bereiden en te transformeren en deze vervolgens te laden in OneLake met een kopieeractiviteit. Data Factory ondersteunt een uitgebreide set connectors waarmee u verbinding kunt maken met meer dan 100 verschillende gegevensarchieven.

Vervolgens bouwt u gegevensstromen met Power Query, die een intuïtieve ervaring biedt met een interface met weinig code. U gebruikt deze om gegevens op te nemen uit uw gegevensbronnen en deze te transformeren met behulp van meer dan 300 gegevenstransformaties. Vervolgens bouwt en organiseert u een complex ETL-proces (extract, transform and load) met gegevenspijplijnen. Met ETL-processen kunt u gegevensstromen vernieuwen en veel verschillende taken op schaal uitvoeren, petabytes aan gegevens verwerken.

In dit scenario hebt u al meerdere ETL-processen. Eerst hebt u enkele pijplijnen in Azure Data Factory (ADF). Op dit moment nemen deze pijplijnen uw on-premises gegevens op en laden deze in een data lake in Azure Storage met behulp van de zelf-hostende Integration Runtime. Ten tweede hebt u een framework voor gegevensopname in Azure Databricks dat is geschreven in Spark.

Nu u Fabric gebruikt, kunt u de uitvoerbestemming van de ADF-pijplijnen omleiden om de Lakehouse-connector te gebruiken. En voor het opnameframework in Azure Databricks gebruikt u de OneLake-API's die het ABFS-stuurprogramma (Azure Blog Filesystem) ondersteunen om OneLake te integreren met Azure Databricks. (U kunt ook dezelfde methode gebruiken om te integreren OneLake met Azure Synapse Analytics met behulp van Apache Spark.)

U hebt ook enkele gegevensbronnen die zich in Azure SQL Database bevinden. U moet verbinding maken met deze gegevensbronnen met behulp van privé-eindpunten. In dit geval besluit u een virtuele netwerkgegevensgateway (VNet) in te stellen en gegevensstromen te gebruiken om veilig verbinding te maken met uw Azure-gegevens en deze in Fabric te laden. Met VNet-gegevensgateways hoeft u de infrastructuur niet in te richten en te beheren (zoals u moet doen voor on-premises gegevensgateway). Dat komt doordat Fabric veilig en dynamisch de containers maakt in uw virtuele Azure-netwerk.

Als u uw framework voor gegevensopname in Spark ontwikkelt of migreert, kunt u veilig en privé verbinding maken met gegevensbronnen in Azure vanuit Fabric-notebooks en -taken met behulp van beheerde privé-eindpunten. Beheerde privé-eindpunten kunnen worden gemaakt in uw Fabric-werkruimten om verbinding te maken met gegevensbronnen in Azure die openbare internettoegang hebben geblokkeerd. Ze ondersteunen privé-eindpunten, zoals Azure SQL Database en Azure Storage. Beheerde privé-eindpunten worden ingericht en beheerd in een beheerd VNet dat is toegewezen aan een infrastructuurwerkruimte. In tegenstelling tot uw typische virtuele Azure-netwerken worden beheerde VNets en beheerde privé-eindpunten niet gevonden in Azure Portal. Dat komt doordat ze volledig worden beheerd door Fabric en u ze vindt in uw werkruimte-instellingen.

Omdat u al veel gegevens hebt opgeslagen in AdLS Gen2-accounts (Azure Data Lake Storage), hoeft u er nu alleen infrastructuurworkloads, zoals Spark en Power BI, aan te koppelen. Dankzij OneLake ADLS-snelkoppelingen kunt u ook eenvoudig verbinding maken met uw bestaande gegevens vanuit elke Fabric-ervaring, zoals pijplijnen voor gegevensintegratie, data engineering-notebooks en Power BI-rapporten.

Fabric-werkruimten met een werkruimte-identiteit hebben veilig toegang tot ADLS Gen2-opslagaccounts, zelfs wanneer u het openbare netwerk hebt uitgeschakeld. Dit wordt mogelijk gemaakt door toegang tot vertrouwde werkruimten. Hiermee kan Fabric veilig verbinding maken met de opslagaccounts met behulp van een Microsoft backbone-netwerk. Dit betekent dat communicatie niet gebruikmaakt van het openbare internet, waarmee u de toegang tot het openbare netwerk tot het opslagaccount kunt uitschakelen, maar dat bepaalde Fabric-werkruimten wel verbinding met hen kunnen maken.

Naleving

U wilt Fabric gebruiken om uw gegevens veilig op te nemen, op te slaan, te verwerken en te analyseren in de cloud, terwijl u de naleving van de regelgeving van uw branche en het beleid van uw organisatie behoudt.

Fabric maakt deel uit van Microsoft Azure Core Services en valt onder de Voorwaarden van Microsoft Online Services en de privacyverklaring van Microsoft Enterprise. Hoewel certificeringen doorgaans plaatsvinden na een productlancering (algemeen beschikbaar of algemeen beschikbaar), integreert Microsoft best practices voor naleving vanaf het begin en gedurende de gehele ontwikkelingslevenscyclus. Deze proactieve benadering zorgt voor een sterke basis voor toekomstige certificeringen, ook al volgen ze vastgestelde auditcycli. In eenvoudigere termen prioriteren we het bouwen van naleving vanaf het begin, zelfs wanneer formele certificering later komt.

Infrastructuur voldoet aan veel industriestandaarden zoals ISO 27001, 27017, 27018 en 27701. Fabric is ook HIPAA-compatibel , wat essentieel is voor de privacy en beveiliging van gegevens in de gezondheidszorg. U kunt de bijlage A en B in de Microsoft Azure-nalevingsaanbiedingen controleren voor gedetailleerd inzicht in welke cloudservices binnen het bereik van de certificeringen vallen. U kunt ook toegang krijgen tot de auditdocumentatie vanuit de Service Trust Portal (STP).

Naleving is een gedeelde verantwoordelijkheid. Om te voldoen aan wetten en voorschriften, voeren cloudserviceproviders en hun klanten een gedeelde verantwoordelijkheid in om ervoor te zorgen dat elk daarvan deel uitmaakt. Wanneer u openbare cloudservices bekijkt en evalueert, is het essentieel om inzicht te hebben in het model voor gedeelde verantwoordelijkheid en welke beveiligingstaken de cloudprovider afhandelt en welke taken u afhandelt.

Gegevensverwerking

Omdat u te maken hebt met gevoelige patiëntgegevens, moet u ervoor zorgen dat al uw gegevens zowel at-rest als in transit voldoende worden beschermd.

Versleuteling-at-rest biedt gegevensbeveiliging voor opgeslagen gegevens (at rest). Aanvallen tegen data-at-rest omvatten pogingen om fysieke toegang te verkrijgen tot de hardware waarop de gegevens zijn opgeslagen en vervolgens de gegevens op die hardware in gevaar te krijgen. Versleuteling-at-rest is ontworpen om te voorkomen dat een aanvaller toegang krijgt tot de niet-versleutelde gegevens door ervoor te zorgen dat de gegevens worden versleuteld wanneer ze zich op schijf bevinden. Versleuteling-at-rest is een verplichte maatregel die vereist is voor naleving van enkele industriestandaarden en voorschriften, zoals de International Organization for Standardization (ISO) en Health Insurance Portability and Accountability Act (HIPAA).

Alle Fabric-gegevensarchieven worden in rust versleuteld met behulp van door Microsoft beheerde sleutels, die bescherming bieden voor klantgegevens en ook systeemgegevens en metagegevens. Gegevens worden nooit bewaard in permanente opslag in een niet-versleutelde status. Met door Microsoft beheerde sleutels profiteert u van de versleuteling van uw data-at-rest zonder het risico of de kosten van een aangepaste oplossing voor sleutelbeheer.

Gegevens worden ook tijdens overdracht versleuteld. Al het binnenkomende verkeer naar Fabric-eindpunten van de clientsystemen dwingt minimaal TLS 1.2 (Transport Layer Security) af. Er wordt ook onderhandeld over TLS 1.3, indien mogelijk. TLS biedt sterke verificatie, privacy en integriteit van berichten (waardoor berichten worden gemanipuleerd, onderschept en vervalst), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak en gebruiksgemak.

Naast versleuteling wordt netwerkverkeer tussen Microsoft-services altijd gerouteerd via het wereldwijde Microsoft-netwerk. Dit is een van de grootste backbone-netwerken ter wereld.

Cmk-versleuteling (door de klant beheerde sleutel) en Microsoft Fabric

Door de klant beheerde sleutels (CMK) stelt u in staat om data-at-rest te versleutelen met behulp van uw eigen sleutels. Standaard versleutelt Microsoft Fabric data-at-rest met behulp van door het platform beheerde sleutels. In dit model is Microsoft verantwoordelijk voor alle aspecten van sleutelbeheer en data-at-rest op OneLake wordt versleuteld met behulp van de sleutels. Vanuit het oogpunt van naleving kunnen klanten CMK gebruiken om data-at-rest te versleutelen. In het CMK-model gaat de klant ervan uit dat de sleutel volledig beheer heeft en dat de sleutel(en) worden gebruikt om data-at-rest te versleutelen.

Diagram toont een weergave op hoog niveau van het gebruik van CMK met behulp van Fabric OneLake-snelkoppelingen.

Als u CMK moet gebruiken om data-at-rest te versleutelen, raden we u aan cloudopslagservices (ADLS Gen2, AWS S3, GCS) te gebruiken met CMK-versleuteling ingeschakeld en toegang te krijgen tot gegevens uit Microsoft Fabric met behulp van OneLake-snelkoppelingen. In dit patroon blijven uw gegevens zich in een cloudopslagservice of een externe opslagoplossing bevinden waarbij versleuteling in rust met BEHULP van CMK is ingeschakeld en u kunt in-place leesbewerkingen uitvoeren vanuit Fabric terwijl u voldoet aan het beleid. Zodra een snelkoppeling is gemaakt, zijn de gegevens in Fabric toegankelijk voor andere Fabric-ervaringen.

Er zijn enkele overwegingen voor het gebruik van dit patroon:

  • Gebruik het patroon dat hier wordt besproken voor gegevens met versleutelings-at-rest-vereisten met behulp van CMK. Gegevens die niet over deze vereiste beschikken, kunnen at-rest worden versleuteld met behulp van door het platform beheerde sleutels en die gegevens kunnen systeemeigen worden opgeslagen in Microsoft Fabric OneLake.
  • Fabric Lakehouse en KQL-database zijn de twee workloads in Microsoft Fabric die ondersteuning bieden voor het maken van snelkoppelingen. In dit patroon waarin gegevens zich blijven bevinden in een externe opslagservice waarvoor CMK is ingeschakeld, kunt u snelkoppelingen in Lakehouses en KQL-databases gebruiken om uw gegevens naar Microsoft Fabric te brengen voor analyse, maar gegevens worden fysiek opgeslagen buiten OneLake waar CMK-versleuteling is ingeschakeld.
  • ADLS Gen2-snelkoppeling biedt ondersteuning voor schrijven en gebruiken van dit snelkoppelingstype, u kunt ook gegevens terugschrijven naar de opslagservice en deze worden versleuteld in rust met behulp van CMK. Bij het gebruik van CMK met ADLS Gen2 zijn de volgende overwegingen voor Azure Key Vault (AKV) en Azure Storage van toepassing.
  • Als u een externe opslagoplossing gebruikt die compatibel is met AWS S3 (Cloudflare, Qumolo Core met openbaar eindpunt, Openbaar MinIO en Dell ECS met openbaar eindpunt) en cmk is ingeschakeld, kan het patroon dat hier in dit document wordt besproken, worden uitgebreid naar deze opslagoplossingen van derden. Met behulp van een met Amazon S3 compatibele snelkoppeling kunt u gegevens naar Fabric overbrengen met behulp van een snelkoppeling vanuit deze oplossingen. Net als bij cloudopslagservices kunt u de gegevens opslaan op externe opslag met CMK-versleuteling en in-place leesbewerkingen uitvoeren.
  • AWS S3 ondersteunt versleuteling-at-rest met behulp van door de klant beheerde sleutels. Fabric kan in-place leesbewerkingen uitvoeren op S3-buckets met behulp van S3-snelkoppeling. Schrijfbewerkingen met behulp van een snelkoppeling naar AWS S3 worden echter niet ondersteund.
  • Google Cloud Storage ondersteunt gegevensversleuteling met behulp van door de klant beheerde sleutels. Fabric kan in-place leesbewerkingen uitvoeren op GCS; Schrijfbewerkingen met een snelkoppeling naar GCS worden echter niet ondersteund.
  • Schakel audit voor Microsoft Fabric in om activiteiten bij te houden.
  • In Microsoft Fabric ondersteunt Power BI een klantbeheerde sleutel met breng je eigen encryptiesleutels mee voor Power BI.
  • Schakel de functie voor het opslaan van snelkoppelingen uit voor S3-, GCS- en S3-compatibele sneltoetsen. omdat de gegevens in de cache worden bewaard in OneLake.

Gegevensresidentie

Omdat u te maken hebt met patiëntgegevens, heeft uw organisatie om nalevingsredenen verplicht dat gegevens nooit de Verenigde Staten geografische grens verlaten. De belangrijkste activiteiten van uw organisatie vinden plaats in New York en uw hoofdkantoor in Seattle. Tijdens het instellen van Power BI heeft uw organisatie de regio VS - oost gekozen als de tenant-thuisregio. Voor uw bewerkingen hebt u een infrastructuurcapaciteit gemaakt in de regio VS - west, die zich dichter bij uw gegevensbronnen bevindt. Omdat OneLake overal ter wereld beschikbaar is, maakt u zich zorgen of u aan het beleid voor gegevenslocatie van uw organisatie kunt voldoen terwijl u Fabric gebruikt.

In Fabric leert u dat u multi-geo-capaciteiten kunt maken, die capaciteiten zijn die zich in andere geografische gebieden (geografische gebieden) bevinden dan uw tenant-thuisregio. U wijst uw Fabric-werkruimten toe aan deze capaciteiten. In dit geval bevinden reken- en opslaggegevens (inclusief OneLake en ervaringsspecifieke opslag) zich voor alle items in de werkruimte in de regio met meerdere geografische gebieden, terwijl uw tenantmetagegevens zich in de thuisregio bevinden. Uw gegevens worden alleen opgeslagen en verwerkt in deze twee geografische gebieden, zodat wordt voldaan aan de vereisten voor gegevenslocatie van uw organisatie.

Toegangsbeheer

U moet ervoor zorgen dat alleen u en uw mede data engineers volledige toegang hebben tot de gegevens in de brons- en zilverlagen van het lakehouse. Met deze lagen kunt u gegevens opschonen, valideren, transformeren en verrijken. U moet de toegang tot de gegevens in de gouden laag beperken tot alleen geautoriseerde gebruikers, zoals gegevensanalisten en zakelijke gebruikers, die de gegevens kunnen gebruiken voor verschillende analytische doeleinden, zoals rapportage en analyse.

Fabric biedt een flexibel machtigingsmodel waarmee u de toegang tot items en gegevens in uw werkruimten kunt beheren. Een werkruimte is een beveiligbare logische entiteit voor het groeperen van items in Fabric. U gebruikt werkruimterollen om de toegang tot items in de werkruimten te beheren. De vier basisrollen van een werkruimte zijn:

  • Beheerder: Kan alle inhoud in de werkruimte weergeven, wijzigen, delen en beheren, inclusief het beheren van machtigingen.
  • Lid: Kan alle inhoud in de werkruimte weergeven, wijzigen en delen.
  • Inzender: kan alle inhoud in de werkruimte weergeven en wijzigen.
  • Viewer: kan alle inhoud in de werkruimte bekijken, maar kan deze niet wijzigen.

In dit scenario maakt u drie werkruimten, één voor elk van de medal machtigingen (brons, zilver en goud). Omdat u de werkruimte hebt gemaakt, wordt u automatisch toegewezen aan de rol Beheerder .

Vervolgens voegt u een beveiligingsgroep toe aan de rol Inzender van deze drie werkruimten. Omdat de beveiligingsgroep uw collega-technici als leden bevat, kunnen ze Fabric-items in deze werkruimten maken en wijzigen, maar ze kunnen geen items met anderen delen. Ze kunnen ook geen toegang verlenen aan andere gebruikers.

In de bronzen en zilveren werkruimten maken u en uw collega-technici Fabric-items om gegevens op te nemen, de gegevens op te slaan en de gegevens te verwerken. Fabric-items bestaan uit lakehouse, pijplijnen en notebooks. In de gouden werkruimte maakt u twee lakehouses, meerdere pijplijnen en notebooks en een semantisch Direct Lake-model, dat snelle queryprestaties levert van gegevens die zijn opgeslagen in een van de lakehouses.

Vervolgens geeft u zorgvuldig na hoe de gegevensanalisten en zakelijke gebruikers toegang hebben tot de gegevens die ze mogen openen. Ze hebben met name alleen toegang tot gegevens die relevant zijn voor hun rol en afdeling.

Het eerste Lakehouse bevat de werkelijke gegevens en dwingt geen gegevensmachtigingen af in het SQL-analyse-eindpunt. Het tweede lakehouse bevat snelkoppelingen naar het eerste lakehouse en dwingt gedetailleerde gegevensmachtigingen af in het SQL-analyse-eindpunt. Het semantische model maakt verbinding met het eerste lakehouse. Als u de juiste gegevensmachtigingen wilt afdwingen voor de gebruikers (zodat ze alleen toegang hebben tot gegevens die relevant zijn voor hun rol en afdeling), deelt u het eerste lakehouse niet met de gebruikers. In plaats daarvan deelt u alleen het semantische Direct Lake-model en het tweede lakehouse dat gegevensmachtigingen afdwingt in het SQL-analyse-eindpunt.

U stelt het semantische model in voor het gebruik van een vaste identiteit en implementeert vervolgens beveiliging op rijniveau (RLS) in het semantische model om modelregels af te dwingen om te bepalen waartoe de gebruikers toegang hebben. Vervolgens deelt u alleen het semantische model met de gegevensanalisten en zakelijke gebruikers, omdat ze geen toegang mogen krijgen tot de andere items in de werkruimte, zoals de pijplijnen en notebooks. Ten slotte verleent u buildmachtigingen voor het semantische model, zodat de gebruikers Power BI-rapporten kunnen maken. Op die manier wordt het semantische model een gedeeld semantisch model en een bron voor hun Power BI-rapporten.

Uw gegevensanalisten hebben toegang nodig tot het tweede lakehouse in de gouden werkruimte. Ze maken verbinding met het SQL-analyse-eindpunt van dat Lakehouse om SQL-query's te schrijven en analyses uit te voeren. U deelt dat Lakehouse dus met hen en geeft alleen toegang tot objecten die ze nodig hebben (zoals tabellen, rijen en kolommen met maskeringsregels) in het eindpunt van Lakehouse SQL Analytics met behulp van het SQL-beveiligingsmodel. Gegevensanalisten hebben nu alleen toegang tot gegevens die relevant zijn voor hun rol en afdeling en ze hebben geen toegang tot de andere items in de werkruimte, zoals de pijplijnen en notebooks.

Algemene beveiligingsscenario's

De volgende tabel bevat algemene beveiligingsscenario's en de hulpprogramma's die u kunt gebruiken om ze te bereiken.

Scenario Extra Richting
Ik ben een ETL-ontwikkelaar en ik wil grote hoeveelheden gegevens naar Fabric op schaal laden vanuit meerdere bronsystemen en tabellen. De brongegevens zijn on-premises (of andere cloud) en bevinden zich achter firewalls en/of Azure-gegevensbronnen met privé-eindpunten. On-premises gegevensgateway gebruiken met gegevenspijplijnen (kopieeractiviteit). Uitgaand
Ik ben een powergebruiker en ik wil gegevens laden in Fabric van bronsystemen waartoe ik toegang heb. Omdat ik geen ontwikkelaar ben, moet ik de gegevens transformeren met behulp van een interface met weinig code. De brongegevens zijn on-premises (of andere cloud) en bevinden zich achter firewalls. Gebruik een on-premises gegevensgateway met Gegevensstroom Gen 2. Uitgaand
Ik ben een powergebruiker en ik wil gegevens laden in Fabric vanuit bronsystemen waartoe ik toegang heb. De brongegevens bevinden zich in Azure achter privé-eindpunten en ik wil geen on-premises gegevensgatewayinfrastructuur installeren en onderhouden. Gebruik een VNet-gegevensgateway met Gegevensstroom Gen 2. Uitgaand
Ik ben een ontwikkelaar die code voor gegevensopname kan schrijven met behulp van Spark-notebooks. Ik wil gegevens laden in Fabric vanuit bronsystemen waartoe ik toegang heb. De brongegevens bevinden zich in Azure achter privé-eindpunten en ik wil geen on-premises gegevensgatewayinfrastructuur installeren en onderhouden. Fabric-notebooks gebruiken met privé-eindpunten van Azure. Uitgaand
Ik heb veel bestaande pijplijnen in Azure Data Factory (ADF) en Synapse-pijplijnen die verbinding maken met mijn gegevensbronnen en gegevens laden in Azure. Ik wil deze pijplijnen nu wijzigen om gegevens in Fabric te laden. Gebruik de Lakehouse-connector in bestaande pijplijnen. Uitgaand
Ik heb een framework voor gegevensopname dat is ontwikkeld in Spark die veilig verbinding maakt met mijn gegevensbronnen en deze laadt in Azure. Ik voer deze uit in Azure Databricks en/of Synapse Spark. Ik wil Azure Databricks en/of Synapse Spark blijven gebruiken om gegevens in Fabric te laden. Gebruik de OneLake en de Azure Data Lake Storage Gen2-API (Azure Blob Filesystem driver) Uitgaand
Ik wil ervoor zorgen dat mijn Fabric-eindpunten worden beveiligd tegen het openbare internet. Als SaaS-service is de fabric-back-end al beveiligd tegen het openbare internet. Gebruik voor meer beveiliging het beleid voor voorwaardelijke toegang van Microsoft Entra voor Fabric en/of schakel privékoppelingen in op tenantniveau voor Fabric en blokkeer openbare internettoegang. Inkomend
Ik wil ervoor zorgen dat Fabric alleen toegankelijk is vanuit mijn bedrijfsnetwerk en/of vanaf compatibele apparaten. Gebruik beleid voor voorwaardelijke toegang van Microsoft Entra voor Fabric. Inkomend
Ik wil ervoor zorgen dat iedereen die toegang heeft tot Fabric, meervoudige verificatie moet uitvoeren. Gebruik beleid voor voorwaardelijke toegang van Microsoft Entra voor Fabric. Inkomend
Ik wil mijn hele Fabric-tenant vergrendelen vanaf het openbare internet en alleen toegang vanuit mijn virtuele netwerken toestaan. Schakel privékoppelingen op tenantniveau in voor Fabric en blokkeer openbare internettoegang. Inkomend

Gerelateerde inhoud

Zie de volgende resources voor meer informatie over infrastructuurbeveiliging.