Zabezpieczenia w usłudze Microsoft Fabric
Microsoft Fabric to platforma oprogramowania jako usługi (SaaS), która umożliwia użytkownikom uzyskiwanie, tworzenie, udostępnianie i wizualizowanie danych.
Jako usługa SaaS usługa Fabric oferuje kompletny pakiet zabezpieczeń dla całej platformy. Sieć szkieletowa usuwa koszt i odpowiedzialność za utrzymanie rozwiązania zabezpieczeń i przenosi je do chmury. Dzięki usłudze Fabric możesz korzystać z wiedzy i zasobów firmy Microsoft, aby zapewnić bezpieczeństwo danych, stosowanie luk w zabezpieczeniach poprawek, monitorowanie zagrożeń i przestrzeganie przepisów. Sieć szkieletowa umożliwia również zarządzanie ustawieniami zabezpieczeń, ich kontrolowanie i inspekcję zgodnie ze zmieniającymi się potrzebami i wymaganiami.
W miarę przesyłania danych do chmury i używania ich z różnymi środowiskami analitycznymi, takimi jak Power BI, Data Factory i następna generacja usługi Synapse, firma Microsoft zapewnia, że wbudowane funkcje zabezpieczeń i niezawodności zabezpieczają dane magazynowane i przesyłane. Firma Microsoft zapewnia również możliwość odzyskania danych w przypadku awarii infrastruktury lub awarii.
Zabezpieczenia sieci szkieletowej to:
Zawsze włączone — każda interakcja z siecią szkieletową jest domyślnie szyfrowana i uwierzytelniana przy użyciu identyfikatora Entra firmy Microsoft. Cała komunikacja między środowiskami sieci szkieletowej odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft. Dane magazynowane są automatycznie przechowywane jako zaszyfrowane. Aby regulować dostęp do sieci szkieletowej, można dodać dodatkowe funkcje zabezpieczeń, takie jak łącza prywatne lub dostęp warunkowy Entra. Sieć szkieletowa może również łączyć się z danymi chronionymi przez zaporę lub sieć prywatną przy użyciu zaufanego dostępu.
Zgodne — sieć szkieletowa ma wyrejerenność danych z wieloma pojemnościami geograficznymi. Sieć szkieletowa obsługuje również szeroką gamę standardów zgodności.
Zarządzanie — sieć szkieletowa zawiera zestaw narzędzi do zapewniania ładu, takich jak pochodzenie danych, etykiety ochrony informacji, zapobieganie utracie danych i integracja usługi Purview.
Konfigurowalne — zabezpieczenia sieci szkieletowej można skonfigurować zgodnie z zasadami organizacji.
Rozwój — firma Microsoft stale poprawia bezpieczeństwo sieci szkieletowej, dodając nowe funkcje i mechanizmy kontroli.
Uwierzytelnij
Microsoft Fabric to platforma SaaS, podobnie jak wiele innych usługi firmy Microsoft, takich jak Azure, Microsoft Office, OneDrive i Dynamics. Wszystkie te usługi SaaS firmy Microsoft, w tym Sieć szkieletowa, używają identyfikatora Microsoft Entra jako dostawcy tożsamości opartego na chmurze. Microsoft Entra ID pomaga użytkownikom szybko i łatwo łączyć się z tymi usługami z dowolnego urządzenia i dowolnej sieci. Każde żądanie nawiązania połączenia z siecią szkieletową jest uwierzytelniane za pomocą identyfikatora Entra firmy Microsoft, co umożliwia użytkownikom bezpieczne łączenie się z siecią szkieletową z firmowej firmy, podczas pracy w domu lub z lokalizacji zdalnej.
Omówienie zabezpieczeń sieci
Sieć szkieletowa to usługa SaaS działająca w chmurze firmy Microsoft. Niektóre scenariusze obejmują łączenie się z danymi spoza platformy Sieci szkieletowej. Na przykład wyświetlanie raportu z własnej sieci lub nawiązywanie połączenia z danymi w innej usłudze. Interakcje w sieci szkieletowej używają wewnętrznej sieci firmy Microsoft, a ruch poza usługą jest domyślnie chroniony. Aby uzyskać więcej informacji i szczegółowy opis, zobacz Dane przesyłane.
Zabezpieczenia sieci przychodzącej
Organizacja może chcieć ograniczyć i zabezpieczyć ruch sieciowy przychodzący do sieci Szkieletowej na podstawie wymagań firmy. Za pomocą dostępu warunkowego identyfikatora Entra i linków prywatnych firmy Microsoft możesz wybrać odpowiednie rozwiązanie dla ruchu przychodzącego dla swojej organizacji.
Dostęp warunkowy identyfikatora entra firmy Microsoft
Microsoft Entra ID udostępnia sieć szkieletową z dostępem warunkowym, który umożliwia zabezpieczanie dostępu do sieci szkieletowej na każdym połączeniu. Oto kilka przykładów ograniczeń dostępu, które można wymusić przy użyciu dostępu warunkowego.
Zdefiniuj listę adresów IP dla łączności przychodzącej z siecią szkieletową.
Użyj uwierzytelniania wieloskładnikowego (MFA).
Ogranicz ruch na podstawie parametrów, takich jak kraj pochodzenia lub typ urządzenia.
Aby skonfigurować dostęp warunkowy, zobacz Dostęp warunkowy w sieci szkieletowej.
Aby dowiedzieć się więcej na temat uwierzytelniania w usłudze Fabric, zobacz Podstawy zabezpieczeń usługi Microsoft Fabric.
Łącza prywatne
Łącza prywatne umożliwiają bezpieczną łączność z siecią szkieletową przez ograniczenie dostępu do dzierżawy sieci szkieletowej z sieci wirtualnej platformy Azure i blokowanie całego dostępu publicznego. Dzięki temu tylko ruch sieciowy z tej sieci wirtualnej może uzyskiwać dostęp do funkcji sieci szkieletowej, takich jak notesy, magazyny danych i bazy danych w dzierżawie.
Aby skonfigurować łącza prywatne w sieci szkieletowej, zobacz Konfigurowanie i używanie linków prywatnych.
Zabezpieczenia sieci wychodzącej
Sieć szkieletowa ma zestaw narzędzi, które umożliwiają łączenie się z zewnętrznymi źródłami danych i bezpieczne przenoszenie tych danych do sieci szkieletowej. W tej sekcji wymieniono różne sposoby importowania i nawiązywania połączenia z danymi z bezpiecznej sieci szkieletowej.
Dostęp do zaufanego obszaru roboczego
Usługa Fabric umożliwia bezpieczny dostęp do kont usługi Azure Data Lake Gen 2 z włączoną zaporą. Obszary robocze sieci szkieletowej z tożsamością obszaru roboczego mogą bezpiecznie uzyskiwać dostęp do kont usługi Azure Data Lake Gen 2 z włączonym dostępem do sieci publicznej z wybranych sieci wirtualnych i adresów IP. Możesz ograniczyć dostęp usługi ADLS Gen 2 do określonych obszarów roboczych sieci Szkieletowej. Aby uzyskać więcej informacji, zobacz Dostęp do zaufanego obszaru roboczego.
Uwaga
Tożsamości obszarów roboczych sieci szkieletowej można tworzyć tylko w obszarach roboczych skojarzonych z pojemnością jednostki SKU usługi Fabric F. Aby uzyskać informacje na temat zakupu subskrypcji usługi Fabric, zobacz Kupowanie subskrypcji usługi Microsoft Fabric.
Zarządzane prywatne punkty końcowe
Zarządzane prywatne punkty końcowe umożliwiają bezpieczne połączenia ze źródłami danych, takimi jak bazy danych Azure SQL Database, bez ujawniania ich w sieci publicznej lub wymagających złożonych konfiguracji sieci.
Zarządzane sieci wirtualne
Zarządzane sieci wirtualne to sieci wirtualne tworzone i zarządzane przez usługę Microsoft Fabric dla każdego obszaru roboczego usługi Fabric. Zarządzane sieci wirtualne zapewniają izolację sieci dla obciążeń platformy Spark sieci szkieletowej, co oznacza, że klastry obliczeniowe są wdrażane w dedykowanej sieci i nie są już częścią udostępnionej sieci wirtualnej.
Zarządzane sieci wirtualne umożliwiają również funkcje zabezpieczeń sieci, takie jak zarządzane prywatne punkty końcowe, oraz obsługę linków prywatnych na potrzeby inżynierowie danych i Nauka o danych elementów w usłudze Microsoft Fabric korzystających z platformy Apache Spark.
Brama danych
Aby nawiązać połączenie z lokalnymi źródłami danych lub źródłem danych, które mogą być chronione przez zaporę lub sieć wirtualną, możesz użyć jednej z następujących opcji:
Lokalna brama danych — brama działa jako most między lokalnymi źródłami danych i siecią szkieletową. Brama jest zainstalowana na serwerze w sieci i umożliwia sieci szkieletowej łączenie się ze źródłami danych za pośrednictwem bezpiecznego kanału bez konieczności otwierania portów lub wprowadzania zmian w sieci.
Brama danych sieci wirtualnej — brama sieci wirtualnej umożliwia łączenie się z usługami Microsoft Cloud z usługami danych platformy Azure w sieci wirtualnej bez potrzeby lokalnej bramy danych.
Nawiązywanie połączenia z usługą OneLake z istniejącej usługi
Możesz nawiązać połączenie z siecią szkieletową przy użyciu istniejącej usługi Azure Platform as a Service (PaaS). W przypadku usług Synapse i Azure Data Factory (ADF) można użyć środowiska Azure Integration Runtime (IR) lub zarządzanej sieci wirtualnej usługi Azure Data Factory. Możesz również nawiązać połączenie z tymi usługami i innymi usługami, takimi jak przepływy mapowania danych, klastry Usługi Synapse Spark, klastry Platformy Spark usługi Databricks i usługa Azure HDInsight przy użyciu interfejsów API usługi OneLake.
Tagi usługi platformy Azure
Użyj tagów usługi, aby pozyskiwać dane bez używania bram danych z źródeł danych wdrożonych w sieci wirtualnej platformy Azure, takich jak maszyny wirtualne Azure SQL Virtual Machines, wystąpienia zarządzane usługi Azure SQL i interfejsy API REST. Możesz również użyć tagów usługi, aby uzyskać ruch z sieci wirtualnej lub zapory platformy Azure. Na przykład tagi usługi mogą zezwalać na ruch wychodzący do sieci szkieletowej, aby użytkownik na maszynie wirtualnej mógł łączyć się z siecią szkieletową parametry połączenia SQL z programu SSMS, a jednocześnie uniemożliwić dostęp do innych publicznych zasobów internetowych.
Listy dozwolonych adresów IP
Jeśli masz dane, które nie znajdują się na platformie Azure, możesz włączyć listę dozwolonych adresów IP w sieci organizacji, aby zezwolić na ruch do i z sieci szkieletowej. Lista dozwolonych adresów IP jest przydatna, jeśli musisz pobrać dane ze źródeł danych, które nie obsługują tagów usług, takich jak lokalne źródła danych. Dzięki tym skrótom możesz uzyskać dane bez kopiowania ich do usługi OneLake przy użyciu punktu końcowego analizy SQL usługi Lakehouse lub usługi Direct Lake.
Listę adresów IP sieci szkieletowej można pobrać ze środowiska lokalnego tagów usługi. Lista jest dostępna jako plik JSON lub programowo z interfejsami API REST, programem PowerShell i interfejsem wiersza polecenia platformy Azure.
Zabezpieczanie danych
W usłudze Fabric wszystkie dane przechowywane w usłudze OneLake są szyfrowane w spoczynku. Wszystkie dane magazynowane są przechowywane w twoim regionie macierzysnym lub w jednym z Twoich pojemności w wybranym regionie zdalnym, dzięki czemu można spełnić przepisy dotyczące niezależności danych magazynowanych. Aby uzyskać więcej informacji, zobacz Podstawy zabezpieczeń usługi Microsoft Fabric.
Omówienie dzierżaw w wielu lokalizacjach geograficznych
Wiele organizacji ma globalną obecność i wymaga usług w wielu lokalizacjach geograficznych platformy Azure. Na przykład firma może mieć swoją siedzibę w Stany Zjednoczone, wykonując działalność w innych obszarach geograficznych, takich jak Australia. Aby zapewnić zgodność z lokalnymi przepisami, firmy mające globalną obecność muszą zapewnić, że dane pozostają przechowywane w spoczynku w kilku regionach. W sieci szkieletowej jest to nazywane wieloma obszarami geograficznymi.
Warstwa wykonywania zapytania, pamięć podręczna zapytań i dane elementów przypisane do obszaru roboczego z wieloma obszarami geograficznymi pozostają w lokalizacji geograficznej platformy Azure podczas tworzenia. Jednak niektóre metadane i przetwarzanie są przechowywane w spoczynku w lokalizacji geograficznej domu dzierżawy.
Sieć szkieletowa jest częścią większego ekosystemu firmy Microsoft. Jeśli Twoja organizacja korzysta już z innych usług subskrypcji w chmurze, takich jak Azure, Microsoft 365 lub Dynamics 365, usługa Fabric działa w ramach tej samej dzierżawy firmy Microsoft Entra. Domena organizacyjna (na przykład contoso.com) jest skojarzona z identyfikatorem Entra firmy Microsoft. Podobnie jak wszystkie usługi w chmurze firmy Microsoft.
Sieć szkieletowa zapewnia bezpieczeństwo danych w różnych regionach podczas pracy z kilkoma dzierżawami, które mają wiele pojemności w wielu lokalizacjach geograficznych.
Separacjalogiczna danych — platforma sieci szkieletowej zapewnia logiczną izolację między dzierżawami w celu ochrony danych.
Niezależność danych — aby rozpocząć pracę z wieloma obszarami geograficznymi, zobacz Konfigurowanie obsługi funkcji Multi-Geo dla sieci szkieletowej.
Uzyskiwanie dostępu do danych
Sieć szkieletowa kontroluje dostęp do danych przy użyciu obszarów roboczych. W obszarach roboczych dane są wyświetlane w postaci elementów sieci szkieletowej, a użytkownicy nie mogą wyświetlać ani używać elementów (danych), chyba że przyznasz im dostęp do obszaru roboczego. Więcej informacji na temat uprawnień obszaru roboczego i elementu można znaleźć w temacie Model uprawnień.
Role obszaru roboczego
Dostęp do obszaru roboczego znajduje się w poniższej tabeli. Obejmuje ona role obszaru roboczego oraz zabezpieczenia sieci szkieletowej i usługi OneLake. Użytkownicy z rolą przeglądarki mogą uruchamiać zapytania SQL, Data Analysis Expressions (DAX) lub Multidimensional Expressions (MDX), ale nie mogą uzyskiwać dostępu do elementów sieci szkieletowej ani uruchamiać notesu.
Rola | Dostęp do obszaru roboczego | Dostęp do usługi OneLake |
---|---|---|
Administrator, członek i współautor | Może używać wszystkich elementów w obszarze roboczym | ✅ |
Przeglądający | Może wyświetlić wszystkie elementy w obszarze roboczym | ❌ |
Udostępnianie elementów
Elementy sieci szkieletowej można udostępniać użytkownikom w organizacji, którzy nie mają żadnej roli obszaru roboczego. Udostępnianie elementów zapewnia ograniczony dostęp, umożliwiając użytkownikom dostęp tylko do elementu udostępnionego w obszarze roboczym.
Ograniczanie dostępu
Dostęp do danych można ograniczyć za pomocą zabezpieczeń na poziomie wiersza, zabezpieczeń na poziomie kolumny (CLS) i zabezpieczeń na poziomie obiektu (OLS). Dzięki zabezpieczeniam na poziomie wiersza, clS i OLS można tworzyć tożsamości użytkowników, które mają dostęp do niektórych części danych, i ograniczyć wyniki SQL zwracające tylko tożsamość użytkownika.
Zabezpieczenia na poziomie wiersza można również dodać do zestawu danych DirectLake. Jeśli zdefiniujesz zabezpieczenia zarówno dla języka SQL, jak i języka DAX, funkcja DirectLake wraca do trybu DirectQuery dla tabel, które mają zabezpieczenia na poziomie wiersza w języku SQL. W takich przypadkach wyniki języka DAX lub MDX są ograniczone do tożsamości użytkownika.
Aby uwidocznić raporty przy użyciu zestawu danych DirectLake z zabezpieczeniami na poziomie wiersza bez rezerwowego trybu DirectQuery, użyj bezpośredniego udostępniania zestawu danych lub aplikacji w usłudze Power BI. Za pomocą aplikacji w usłudze Power BI możesz udzielić dostępu do raportów bez dostępu do przeglądarki. Ten rodzaj dostępu oznacza, że użytkownicy nie mogą używać języka SQL. Aby umożliwić usłudze DirectLake odczytywanie danych, należy przełączyć poświadczenia źródła danych z Logowanie jednokrotne (SSO) na stałą tożsamość, która ma dostęp do plików w usłudze Lake.
Ochrona danych
Sieć szkieletowa obsługuje etykiety poufności z usługi Microsoft Purview Information Protection. Są to etykiety, takie jak Ogólne, Poufne i Wysoce poufne, które są powszechnie używane w aplikacja pakietu Office firmy Microsoft, takich jak Word, PowerPoint i Excel w celu ochrony poufnych informacji. W sieci szkieletowej można klasyfikować elementy zawierające poufne dane przy użyciu tych samych etykiet poufności. Etykiety poufności są następnie automatycznie zgodne z danymi z elementu do elementu, gdy przepływa przez sieć szkieletową, aż do źródła danych po użytkownika biznesowego. Etykieta poufności jest zgodna nawet wtedy, gdy dane są eksportowane do obsługiwanych formatów, takich jak PBIX, Excel, PowerPoint i PDF, dzięki czemu dane pozostają chronione. Tylko autoryzowani użytkownicy mogą otworzyć plik. Aby uzyskać więcej informacji, zobacz Ład i zgodność w usłudze Microsoft Fabric.
Aby ułatwić zarządzanie danymi, ich ochronę i zarządzanie nimi, możesz użyć usługi Microsoft Purview. Usługi Microsoft Purview i Fabric współpracują ze sobą, umożliwiając przechowywanie, analizowanie i zarządzanie danymi z jednej lokalizacji — centrum Microsoft Purview.
Odzyskiwanie danych
Odporność danych sieci szkieletowej zapewnia dostępność danych w przypadku awarii. Sieć szkieletowa umożliwia również odzyskiwanie danych w przypadku awarii, odzyskiwania po awarii. Aby uzyskać więcej informacji, zobacz Niezawodność w usłudze Microsoft Fabric.
Administrowanie siecią szkieletową
Jako administrator w usłudze Fabric uzyskujesz kontrolę nad możliwościami dla całej organizacji. Sieć szkieletowa umożliwia delegowanie roli administratora do pojemności, obszarów roboczych i domen. Delegowanie obowiązków administratora do odpowiednich osób umożliwia zaimplementowanie modelu, który pozwala kilku administratorom na kontrolowanie ogólnych ustawień sieci szkieletowej w całej organizacji, podczas gdy inni administratorzy, którzy są odpowiedzialni za ustawienia związane z określonymi obszarami.
Za pomocą różnych narzędzi administratorzy mogą również monitorować kluczowe aspekty sieci szkieletowej, takie jak zużycie pojemności.
Dzienniki inspekcji
Aby wyświetlić dzienniki inspekcji, postępuj zgodnie z instrukcjami w temacie Śledzenie działań użytkowników w usłudze Microsoft Fabric. Możesz również zapoznać się z listą Operacje, aby zobaczyć, które działania są dostępne do wyszukiwania w dziennikach inspekcji.
Możliwości
Zapoznaj się z tą sekcją, aby zapoznać się z listą niektórych funkcji zabezpieczeń dostępnych w usłudze Microsoft Fabric.
Możliwość | opis |
---|---|
Dostęp warunkowy | Zabezpieczanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft |
Skrytka | Kontrolowanie sposobu uzyskiwania dostępu do danych przez inżynierów firmy Microsoft |
Zabezpieczenia sieci szkieletowej i usługi OneLake | Dowiedz się, jak zabezpieczyć dane w usłudze Fabric i usłudze OneLake. |
Odporność | Niezawodność i regionalna odporność ze strefami dostępności platformy Azure |
Tagi usługi | Włączanie usługi Azure SQL Managed Instance (MI) w celu zezwalania na połączenia przychodzące z usługi Microsoft Fabric |