Basisprincipes van Microsoft Fabric-beveiliging

Dit artikel biedt een overzicht van de Beveiligingsarchitectuur van Microsoft Fabric door te beschrijven hoe de belangrijkste beveiligingsstromen in het systeem werken. Ook wordt beschreven hoe gebruikers zich verifiëren met Fabric, hoe gegevensverbindingen tot stand worden gebracht en hoe Fabric gegevens opslaat en verplaatst via de service.

Het artikel is voornamelijk gericht op Fabric-beheerders die verantwoordelijk zijn voor het toezicht op Fabric in de organisatie. Het is ook relevant voor belanghebbenden voor bedrijfsbeveiliging, waaronder beveiligingsbeheerders, netwerkbeheerders, Azure-beheerders, werkruimtebeheerders en databasebeheerders.

Fabric-platform

Microsoft Fabric is een alles-in-één analyseoplossing voor ondernemingen die alles omvat, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses en business intelligence (BI). Het Fabric-platform bestaat uit een reeks services en infrastructuuronderdelen die ondersteuning bieden voor de algemene functionaliteit voor alle Fabric-ervaringen. Gezamenlijk bieden ze een uitgebreide set analyse-ervaringen die zijn ontworpen om naadloos samen te werken. Ervaringen zijn Onder andere Lakehouse, Data Factory, Fabric Data-engineer ing, Fabric Data Warehouse, Power BI en andere.

Met Fabric hoeft u geen verschillende services van meerdere leveranciers samen te voegen. In plaats daarvan profiteert u van een zeer geïntegreerd, end-to-end en gebruiksvriendelijk product dat is ontworpen om uw analysebehoeften te vereenvoudigen. Fabric is vanaf het begin ontworpen om gevoelige assets te beschermen.

Het Fabric-platform is gebouwd op basis van Software as a Service (SaaS), wat betrouwbaarheid, eenvoud en schaalbaarheid biedt. Het is gebouwd op Azure, het openbare cloudcomputingplatform van Microsoft. Van oudsher zijn veel gegevensproducten platform as a service (PaaS), waarvoor een beheerder van de service beveiliging, naleving en governance voor elke service moet instellen. Omdat Fabric een SaaS-service is, zijn veel van deze functies ingebouwd in het SaaS-platform en is er geen installatie of minimale installatie vereist.

Architectuurdiagram

In het onderstaande architectuurdiagram ziet u een hoge weergave van de infrastructuurbeveiligingsarchitectuur.

In het architectuurdiagram ziet u de volgende concepten.

1. Een gebruiker gebruikt een browser of clienttoepassing, zoals Power BI Desktop, om verbinding te maken met de Fabric-service.

2. Verificatie wordt verwerkt door Microsoft Entra-id, voorheen bekend als Azure Active Directory, de cloudservice voor identiteits- en toegangsbeheer waarmee de gebruiker of service-principal wordt geverifieerd en de toegang tot Fabric wordt beheerd.

3. De webfront-end ontvangt aanvragen van gebruikers en vereenvoudigt aanmelding. Ook worden aanvragen gerouteerd en wordt front-endinhoud naar de gebruiker doorgestuurd.

4. Het metagegevensplatform slaat tenantmetagegevens op, waaronder klantgegevens. Fabric-services doorzoeken dit platform op aanvraag om autorisatiegegevens op te halen en om gebruikersaanvragen te autoriseren en valideren. Deze bevindt zich in de tenant-thuisregio.

5. Het back-endcapaciteitsplatform is verantwoordelijk voor rekenbewerkingen en voor het opslaan van klantgegevens en bevindt zich in de capaciteitsregio. Het maakt gebruik van Azure-kernservices in die regio, indien nodig voor specifieke Fabric-ervaringen.

Infrastructuurservices voor fabric-platformen zijn multitenant. Er is logische isolatie tussen tenants. Deze services verwerken geen complexe gebruikersinvoer en zijn allemaal geschreven in beheerde code. Platformservices voeren nooit door de gebruiker geschreven code uit.

Het metagegevensplatform en het back-endcapaciteitsplatform worden elk uitgevoerd in beveiligde virtuele netwerken. Deze netwerken maken een reeks beveiligde eindpunten beschikbaar op internet, zodat ze aanvragen van klanten en andere services kunnen ontvangen. Naast deze eindpunten worden services beveiligd door netwerkbeveiligingsregels die de toegang vanaf het openbare internet blokkeren. Communicatie binnen virtuele netwerken wordt ook beperkt op basis van de bevoegdheid van elke interne service.

De toepassingslaag zorgt ervoor dat tenants alleen toegang hebben tot gegevens vanuit hun eigen tenant.

Verificatie

Fabric is afhankelijk van Microsoft Entra-id om gebruikers (of service-principals) te verifiëren. Bij verificatie ontvangen gebruikers toegangstokens van Microsoft Entra-id. Fabric gebruikt deze tokens om bewerkingen uit te voeren in de context van de gebruiker.

Een belangrijke functie van Microsoft Entra ID is voorwaardelijke toegang. Voorwaardelijke toegang zorgt ervoor dat tenants veilig zijn door meervoudige verificatie af te dwingen, zodat alleen door Microsoft Intune ingeschreven apparaten toegang hebben tot specifieke services. Voorwaardelijke toegang beperkt ook gebruikerslocaties en IP-bereiken.

Autorisatie

Alle infrastructuurmachtigingen worden centraal opgeslagen door het metagegevensplatform. Fabric-services doorzoeken het metagegevensplatform op aanvraag om autorisatiegegevens op te halen en om gebruikersaanvragen te autoriseren en te valideren.

Om prestatieredenen worden autorisatiegegevens soms ingekapseld in ondertekende tokens. Ondertekende tokens worden alleen uitgegeven door het back-endcapaciteitsplatform en bevatten het toegangstoken, autorisatiegegevens en andere metagegevens.

Gegevensresidentie

In Fabric wordt een tenant toegewezen aan een platformcluster voor thuismetagegevens, dat zich in één regio bevindt die voldoet aan de gegevenslocatievereisten van de geografie van die regio. Tenantmetagegevens, die klantgegevens kunnen bevatten, worden opgeslagen in dit cluster.

Klanten kunnen bepalen waar hun werkruimten zich bevinden. Ze kunnen ervoor kiezen om hun werkruimten in dezelfde geografie te vinden als hun cluster met metagegevensplatforms, expliciet door hun werkruimten toe te wijzen aan capaciteiten in die regio of impliciet met behulp van de licentiemodus Fabric Trial, Power BI Pro of Power BI Premium per gebruiker. In het laatste geval worden alle klantgegevens opgeslagen en verwerkt in deze ene geografie. Zie Microsoft Fabric-concepten en -licenties voor meer informatie.

Klanten kunnen ook multi-geo-capaciteiten maken die zich in andere geografische gebieden (geografische gebieden) bevinden dan hun thuisregio. In dit geval bevinden reken- en opslaggegevens (inclusief OneLake en ervaringsspecifieke opslag) zich in de regio met meerdere geografische gebieden, maar de metagegevens van de tenant blijven in de thuisregio. Klantgegevens worden alleen opgeslagen en verwerkt in deze twee geografische gebieden. Zie Multi-Geo-ondersteuning configureren voor Fabric voor meer informatie.

Gegevensverwerking

In deze sectie vindt u een overzicht van hoe gegevensverwerking werkt in Fabric. Hierin worden opslag, verwerking en verplaatsing van klantgegevens beschreven.

Inactieve gegevens

Alle Fabric-gegevensarchieven worden in rust versleuteld met behulp van door Microsoft beheerde sleutels. Fabric-gegevens omvatten klantgegevens en systeemgegevens en metagegevens.

Hoewel gegevens in het geheugen in een niet-versleutelde status kunnen worden verwerkt, worden ze nooit bewaard in permanente opslag in een niet-versleutelde status.

Actieve gegevens

Gegevens die onderweg zijn tussen Microsoft-services worden altijd versleuteld met ten minste TLS 1.2. Fabric onderhandelt waar mogelijk over TLS 1.3. Verkeer tussen Microsoft-services routeert altijd via het wereldwijde Microsoft-netwerk.

Inkomende infrastructuurcommunicatie dwingt ook TLS 1.2 af en onderhandelt waar mogelijk met TLS 1.3. Uitgaande infrastructuurcommunicatie naar infrastructuur die eigendom is van de klant geeft de voorkeur aan beveiligde protocollen, maar kan terugvallen op oudere, onveilige protocollen (inclusief TLS 1.0) wanneer nieuwere protocollen niet worden ondersteund.

Telemetrie

Telemetrie wordt gebruikt om de prestaties en betrouwbaarheid van het Fabric-platform te behouden. Het infrastructuurplatformtelemetriearchief is ontworpen om te voldoen aan de voorschriften voor gegevens en privacy voor klanten in alle regio's waar Fabric beschikbaar is, met inbegrip van de Europese Unie (EU). Zie EU Data Boundary Services voor meer informatie.

OneLake

OneLake is één, geïntegreerde, logische Data Lake voor de hele organisatie en wordt automatisch ingericht voor elke Fabric-tenant. Het is gebouwd op Azure en kan elk type bestand, gestructureerd of ongestructureerd opslaan. Bovendien slaan alle Fabric-items, zoals magazijnen en lakehouses, automatisch hun gegevens op in OneLake.

OneLake ondersteunt dezelfde AZURE Data Lake Storage Gen2-API's (ADLS Gen2) en SDK's , daarom is het compatibel met bestaande ADLS Gen2-toepassingen, waaronder Azure Databricks.

Zie Fabric- en OneLake-beveiliging voor meer informatie.

Werkruimtebeveiliging

Werkruimten vertegenwoordigen de primaire beveiligingsgrens voor gegevens die zijn opgeslagen in OneLake. Elke werkruimte vertegenwoordigt één domein of projectgebied waar teams kunnen samenwerken aan gegevens. U beheert de beveiliging in de werkruimte door gebruikers toe te wijzen aan werkruimterollen.

Zie Infrastructuur- en OneLake-beveiliging (werkruimtebeveiliging) voor meer informatie.

Itembeveiliging

Binnen een werkruimte kunt u machtigingen rechtstreeks toewijzen aan Fabric-items, zoals magazijnen en lakehouses. Itembeveiliging biedt de flexibiliteit om toegang te verlenen tot een afzonderlijk Fabric-item zonder toegang te verlenen tot de hele werkruimte. Gebruikers kunnen per itemmachtigingen instellen door een item te delen of door de machtigingen van een item te beheren.

Nalevingsresources

De Fabric-service valt onder de voorwaarden van Microsoft Online Services en de privacyverklaring van Microsoft Enterprise.

Voor de locatie van gegevensverwerking raadpleegt u de voorwaarden voor de locatie van gegevensverwerking in de voorwaarden voor Microsoft Online Services en de gegevensbeschermingsinvoegtoepassing.

Voor nalevingsinformatie is het Vertrouwenscentrum van Microsoft de primaire resource voor Fabric. Zie Microsoft-nalevingsaanbiedingen voor meer informatie over naleving.

De Fabric-service volgt de SDL (Security Development Lifecycle), die bestaat uit een reeks strikte beveiligingsprocedures die ondersteuning bieden voor beveiligingsgaranties en nalevingsvereisten. De SDL helpt ontwikkelaars bij het bouwen van veiligere software door het aantal en ernst van beveiligingsproblemen in software te verminderen, terwijl de ontwikkelingskosten worden verlaagd. Zie Levenscyclusprocedures voor Microsoft Security Development voor meer informatie.

Gerelateerde inhoud

Zie de volgende resources voor meer informatie over infrastructuurbeveiliging.

• Beveiliging in Microsoft Fabric
• End-to-end-beveiligingsscenario van Microsoft Fabric
• Overzicht van OneLake-beveiliging
• Concepten en licenties van Microsoft Fabric
• Vragen? Probeer de Microsoft Fabric-community te vragen.
• Suggesties? Ideeën bijdragen om Microsoft Fabric te verbeteren.