Fundamentos de segurança do Microsoft Fabric
Este artigo apresenta a perspectiva ampla da arquitetura de segurança do Microsoft Fabric, descrevendo o funcionamento dos principais fluxos de segurança no sistema. Ele também descreve como os usuários se autenticam com o Fabric, como as conexões de dados são estabelecidas e como o Fabric armazena e move dados pelo serviço.
Este artigo é voltado especialmente para administradores do Fabric responsáveis por supervisionar o Fabric na organização. Ele também é relevante para stakeholders da segurança da empresa, incluindo administradores de segurança, administradores de rede, administradores do Azure, administradores de espaço de trabalho e de banco de dados.
Plataforma Fabric
O Microsoft Fabric é uma solução tudo em um de análise para empresas que abrange tudo desde a movimentação de dados até ciência de dados, análise em tempo real e business intelligence (BI). A plataforma Fabric engloba uma série de serviços e componentes de infraestrutura que oferecem suporte à funcionalidade comum para todas as experiências do Fabric. Coletivamente, ela oferece um conjunto abrangente de experiências de análise desenvolvidas para trabalhar juntas de maneira impecável. As experiências incluem Lakehouse, Data Factory, Engenharia de Dados do Fabric, Fabric Data Warehouse, Power BI e outros.
Com o Fabric, você não precisa reunir serviços diferentes de vários fornecedores. Em vez disso, você pode usufruir de um produto altamente integrado, completo e fácil de usar, projetado para simplificar suas necessidades de análise. O Fabric foi projetado desde o início para proteger ativos confidenciais.
A plataforma Fabric foi criada com base em software como serviço (SaaS), que oferece confiabilidade, simplicidade e escalabilidade. Ele foi criado no Azure, que é a plataforma pública de computação em nuvem da Microsoft. Tradicionalmente, muitos produtos de dados são oferecidos no modelo de plataforma como serviço (PaaS), exigindo que um administrador do serviço configure a segurança, a conformidade e a governança para cada serviço. Como o Fabric é um serviço SaaS, muitos desses recursos estão incorporados à plataforma SaaS e não exigem nenhuma configuração ou configuração mínima.
Diagrama de arquitetura
O diagrama de arquitetura abaixo mostra uma representação de alto nível da arquitetura de segurança do Fabric.
O diagrama de arquitetura ilustra os conceitos a seguir.
Um usuário usa um navegador ou um aplicativo cliente, como o Power BI Desktop, para se conectar ao serviço do Fabric.
A autenticação é processada pelo Microsoft Entra ID, anteriormente conhecido como Azure Active Directory, que é o serviço de gerenciamento de identidade e acesso baseado em nuvem que autentica o usuário ou a entidade de serviço e gerencia o acesso ao Fabric.
O front-end da Web recebe solicitações do usuário e facilita o logon. Ele também roteia solicitações e fornece conteúdo front-end para o usuário.
A plataforma de metadados armazena metadados do locatário, que podem incluir dados do cliente. Os serviços do Fabric consultam essa plataforma sob demanda para recuperar informações de autorização e autorizar e validar solicitações do usuário. Ela está localizado na região de origem do locatário.
A plataforma de capacidade de back-end é responsável pelas operações de computação e pelo armazenamento de dados do cliente. Ela está localizada na região de capacidade. Ela aproveita os principais serviços do Azure nessa região conforme necessário para experiências específicas do Fabric.
Os serviços de infraestrutura de plataforma de malha são multilocatário. Há isolamento lógico entre os locatários. Esses serviços não processam entradas complexas de usuários e são todos escritos em código gerenciado. Os serviços da plataforma nunca executam nenhum código escrito pelo usuário.
A plataforma de metadados e a plataforma de capacidade de back-end funcionam em redes virtuais seguras. Essas redes expõem uma série de endpoints seguros à Internet para que possam receber solicitações de clientes e outros serviços. Além desses pontos de extremidade, os serviços são protegidos por regras de segurança de rede que bloqueiam o acesso da Internet pública. A comunicação dentro de redes virtuais também sofre restrição com base no privilégio de cada serviço interno.
A camada de aplicativo garante que os locatários só possam acessar dados de dentro de seu próprio locatário.
Autenticação
O Fabric depende do Microsoft Entra ID para autenticar usuários (ou entidades de serviço). Quando autenticados, os usuários recebem tokens de acesso do Microsoft Entra ID. O Fabric usa esses tokens para executar operações no contexto do usuário.
O acesso condicional é um recurso importante do Microsoft Entra ID. O acesso condicional garante a proteção dos locatários impondo autenticação multifator, permitindo apenas que dispositivos registrados no Microsoft Intune acessem serviços específicos. O acesso condicional também restringe locais de usuários e intervalos de IP.
Autorização
Todas as permissões do Fabric são armazenadas centralmente pela plataforma de metadados. Os serviços do Fabric consultam a plataforma de metadados sob demanda para recuperar informações de autorização e autorizar e validar solicitações do usuário.
Por motivos de desempenho, às vezes o Fabric encapsula informações de autorização em tokens assinados. Os tokens assinados são emitidos apenas pela plataforma de capacidade de back-end e incluem o token de acesso, informações de autorização e outros metadados.
Residência de dados
No Fabric, um locatário é atribuído a um cluster de plataforma de metadados de origem, localizado em uma única região que atende aos requisitos de residência de dados da geografia dessa região. Os metadados do locatário, que podem incluir dados do cliente, são armazenados nesse cluster.
Os clientes podem controlar onde seus espaços de trabalho estarão localizados. Eles podem optar por localizar seus espaços de trabalho na mesma geografia do cluster da plataforma de metadados, atribuindo explicitamente seus espaços de trabalho em capacidades nessa região ou implicitamente usando o modo de licença Avaliação do Fabric, Power BI Pro ou Power BI Premium por usuário. Nesse último caso, todos os dados do cliente serão armazenados e processados nessa única geografia. Para obter mais informações, consulte Licenças e conceitos do Microsoft Fabric.
Os clientes também podem criar capacidades multigeográficas localizadas em geografias (áreas geográficas) diferentes de sua região de origem. Nesse caso, a computação e o armazenamento (incluindo armazenamento do OneLake e específico da experiência) estarão localizados na região multigeográfica, no entanto, os metadados do locatário permanecerão na região inicial. Os dados do cliente só serão armazenados e processados nessas duas geografias. Para obter mais informações, consulte Configurar o suporte multigeográfico para o Fabric.
Manipulação de dados
Esta seção fornece uma visão geral sobre o funcionamento do tratamento de dados no Fabric. Ela descreve o armazenamento, o processamento e a movimentação de dados do cliente.
Dados em repouso
Todos os armazenamentos de dados do Fabric são criptografados em repouso com chaves gerenciadas pela Microsoft. Os dados do Fabric incluem dados do cliente, bem como dados e metadados do sistema.
Embora os dados possam ser processados em um estado não criptografado na memória, eles nunca são mantidos para armazenamento permanente enquanto estiverem em um estado não criptografado.
Dados em trânsito
Os dados em trânsito entre os serviços Microsoft sempre são criptografados ao menos com TLS 1.2. O Fabric negocia com o TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft sempre é roteado pela rede global da Microsoft.
A comunicação de entrada do Fabric também impõe o TLS 1.2 e negocia para o TLS 1.3, sempre que possível. A comunicação de saída do Fabric para a infraestrutura de propriedade do cliente prefere protocolos seguros, mas pode retornar para protocolos mais antigos e inseguros (incluindo TLS 1.0) quando não houver compatibilidade com protocolos mais recentes.
Telemetria
A telemetria é usada para manter o desempenho e a confiabilidade da plataforma Fabric. O armazenamento de telemetria da plataforma Fabric foi desenvolvido para manter conformidade com os regulamentos de dados e privacidade para clientes em todas as regiões nas quais o Fabric está disponível, incluindo a União Europeia (UE). Para obter mais informações, consulte Serviços na Fronteira de dados da UE.
OneLake
O OneLake é um data lake lógico unificado e único para toda a organização, sendo provisionado automaticamente para cada locatário do Fabric. Ele é baseado no Azure e pode armazenar qualquer tipo de arquivo, estruturado ou não. Além disso, os itens do Fabric, como depósitos e lakehouses, armazenam seus dados automaticamente no OneLake.
O OneLake dá suporte às mesmas APIs e SDKs do Azure Data Lake Storage Gen2 (ADLS Gen2), sendo compatível com aplicativos ADLS Gen2 existentes, incluindo o Azure Databricks.
Para obter mais informações, confira Segurança do Fabric e do OneLake.
Segurança do workspace
Os espaços de trabalho representam o marco de delimitação de segurança principal para os dados armazenados no OneLake. Cada workspace representa um único domínio ou área de projeto em que as equipes podem colaborar nos dados. Você gerencia a segurança no espaço de trabalho atribuindo usuários a funções de espaço de trabalho.
Para obter mais informações, confira Segurança do Fabric e do OneLake (segurança do espaço de trabalho).
Segurança do item
Em um espaço de trabalho, você pode atribuir permissões diretamente a itens do Fabric, como depósitos e lakehouses. A segurança do item fornece a flexibilidade de conceder acesso a um item individual do Fabric sem conceder acesso a todo o espaço de trabalho. Os usuários podem configurar permissões por item compartilhando um item ou gerenciando as permissões de um item.
Recursos em conformidade
O serviço do Fabric é regido pelos Termos do Microsoft Online Services e pela Política de privacidade do Microsoft Enterprise.
Para a localização do processamento de dados, consulte os termos de Localização do processamento de dados nos Termos do Microsoft Online Services e no Adendo de proteção de dados.
Para obter informações de conformidade, a Central de Confiabilidade Microsoft é o principal recurso para o Fabric. Para obter mais informações sobre conformidade, consulte Ofertas de conformidade da Microsoft.
O serviço do Fabric segue o Security Development Lifecycle (SDL), que consiste em práticas rígidas de segurança que dão suporte a requisitos de conformidade e garantia de segurança. O SDL ajuda os desenvolvedores a criar um software mais seguro, reduzindo o número e a gravidade das vulnerabilidades do software e, ao mesmo tempo, reduzindo o custo de desenvolvimento. Para mais informações, consulte Práticas do Microsoft Security Development Lifecycle.
Conteúdo relacionado
Para obter mais informações sobre a segurança do Fabric, consulte os seguintes recursos.