Compartilhar via


Cenário de segurança de ponta a ponta do Microsoft Fabric

A segurança é um aspecto fundamental de qualquer solução de análise de dados, especialmente quando envolve dados confidenciais. Por esse motivo, o Microsoft Fabric oferece um conjunto abrangente de recursos de segurança que permite proteger os dados inativos e em trânsito, bem como controlar o acesso e as permissões de usuários e aplicativos.

Neste artigo, você saberá mais sobre os conceitos e recursos de segurança do Microsoft Fabric que podem ajudar você a criar com confiança sua própria solução analítica com o Fabric.

Tela de fundo

Este artigo apresenta um cenário em que você é um engenheiro de dados que trabalha para uma organização de serviços de saúde nos Estados Unidos. A organização coleta e analisa dados de pacientes originados de vários sistemas, incluindo registros de integridade eletrônica, resultados de laboratório, acionamentos de seguro e dispositivos vestíveis.

Você planeja criar um lakehouse usando a arquitetura medallion no Fabric, que consiste em três camadas: bronze, prata e ouro.

  • A camada bronze armazena os dados brutos à medida que chegam das fontes de dados.
  • A camada prata aplica verificações de qualidade e transformações de dados para preparar os dados para análise.
  • A camada ouro fornece dados agregados e enriquecidos para relatórios e visualização.

Algumas fontes de dados estão localizadas em sua rede local, enquanto outras estão protegidas por firewalls e exigem acesso autenticado e seguro. Há também algumas fontes de dados gerenciadas no Azure, como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Você precisa se conectar a essas fontes de dados do Azure de modo a não expor os dados à Internet pública.

Você decidiu usar o Fabric porque ele pode ingerir, armazenar, processar e analisar seus dados na nuvem com segurança. É importante ressaltar que ele faz tudo isso sem deixar de estar em conformidade com as regulamentações do seu setor e as políticas da sua organização.

Como o Fabric é SaaS (software como serviço), você não precisa provisionar recursos individuais, como recursos de armazenamento ou de computação. Você precisa apenas da capacidade do Fabric.

Você precisa configurar os requisitos de acesso aos dados. Especificamente, é necessário garantir que apenas você e seus colegas engenheiros de dados tenham acesso aos dados nas camadas bronze e prata do lakehouse. É nessas camadas que você planeja executar a limpeza, a validação, a transformação e o enriquecimento dos dados. Você também precisa restringir o acesso aos dados na camada ouro. Somente usuários autorizados, incluindo analistas de dados e usuários corporativos, devem ter acesso à camada ouro. Esse acesso é necessário para usar os dados para vários fins analíticos, como relatórios, aprendizado de máquina e análise preditiva. O acesso aos dados precisa ser ainda mais restrito conforme a função e o departamento do usuário.

Conectar-se ao Fabric (proteção de entrada)

Primeiro, você configura a proteção de entrada, que lida com a forma como você e outros usuários iniciam sessão e têm acesso ao Fabric.

Como o Fabric é implantado em um locatário do Microsoft Entra, a autenticação e a autorização são controladas pelo Microsoft Entra. Você entra com sua conta do conta corporativa ou de estudante do Microsoft Entra. Em seguida, você considera como outros usuários se conectarão ao Fabric.

O locatário do Microsoft Entra é um limite de segurança de identidade sob o controle do departamento de TI. Dentro desse limite de segurança, a administração de objetos do Microsoft Entra (como contas de usuário) e definição de configurações em todo o locatário são feitas pelos administradores de TI. Como qualquer serviço SaaS, o Fabric isola logicamente os locatários. Os dados e recursos no locatário nunca podem ser acessados por outros locatários, a menos que você os autorize explicitamente.

Veja o que acontece quando um usuário entra no Fabric.

O diagrama mostra uma representação de alto nível da arquitetura de segurança do Fabric. Os itens no diagrama são descritos na tabela a seguir.

Item Descrição
O usuário abre um navegador (ou um aplicativo cliente) e entra no portal do Fabric.
O usuário é redirecionado imediatamente para o Microsoft Entra ID e precisa se autenticar. A autenticação verifica se a pessoa correta está se conectando.
Quando a autenticação é bem-sucedida, o front-end da Web recebe a solicitação do usuário e entrega o conteúdo front-end (HTML e CSS) do local mais próximo. Ele também encaminha a solicitação para a plataforma de metadados e plataforma de capacidade de back-end.
A plataforma de metadados, que reside na região de origem do locatário, armazena os metadados do locatário, como espaços de trabalho e controles de acesso. Essa plataforma garante que o usuário esteja autorizado a acessar os espaços de trabalho e itens do Fabric relevantes.
A plataforma de capacidade de back-end executa operações de computação e armazena seus dados. Ela está localizada na região de capacidade. Quando um espaço de trabalho é atribuído à capacidade do Fabric, todos os dados que residem no espaço de trabalho, incluindo o Data Lake OneLake, são armazenados e processados na região de capacidade.

A plataforma de metadados e a plataforma de capacidade de back-end funcionam em redes virtuais seguras. Essas redes expõem uma série de endpoints seguros à Internet para que possam receber solicitações de usuários e de outros serviços. Além desses pontos de extremidade, os serviços são protegidos por regras de segurança de rede que bloqueiam o acesso da Internet pública.

Quando os usuários entram no Fabric, você pode impor outras camadas de proteção. Assim, seu locatário somente pode ser acessado por determinados usuários e quando outras condições, como local de rede e conformidade do dispositivo, forem atendidas. Essa camada de proteção é chamada de proteção de entrada.

Nesse cenário, você é responsável por informações confidenciais do paciente no Fabric. Portanto, a organização determinou que todos os usuários que acessam o Fabric devem executar MFA (autenticação multifator) e que eles devem estar na rede corporativa, pois apenas proteger a identidade do usuário não é suficiente.

A organização também oferece flexibilidade para os usuários, permitindo que eles trabalhem de qualquer lugar e usem seus dispositivos pessoais. Como o Microsoft Intune oferece suporte a BYOD (traga seu próprio dispositivo), você registra dispositivos de usuário aprovados no Intune.

Além disso, você precisa garantir que esses dispositivos estejam em conformidade com as políticas da organização. Especificamente, essas políticas exigem que os dispositivos possam se conectar apenas quando tiverem o sistema operacional mais recente instalado e os patches de segurança mais recentes. Configure esses requisitos de segurança usando o Acesso Condicional do Microsoft Entra.

O Acesso Condicional oferece várias maneiras de proteger o locatário. Você poderá:

Caso precise bloquear todo o locatário do Fabric, use uma rede virtual e bloqueie o acesso público à Internet. O acesso ao Fabric só é permitido a partir dessa rede virtual segura. Esse requisito é configurado ao habilitar links privados no nível do locatário para o Fabric. Ele garante que todos os pontos de extremidade do Fabric sejam resolvidos para um endereço IP privado em sua rede virtual, incluindo o acesso a todos os relatórios do Power BI. (A habilitação de pontos de extremidade privados afeta muitos itens do Fabric. Portanto, leia atentamente este artigo antes de habilitá-los.)

Acesso seguro aos dados fora do Fabric (proteção de saída)

Em seguida, você configura a proteção de saída, que lida com o acesso de dados com a segurança da proteção de firewalls ou de pontos de extremidade privados.

Sua organização tem algumas fontes de dados localizadas na rede local. Como essas fontes de dados estão protegidas por firewalls, o Fabric exige acesso seguro. Para permitir que o Fabric se conecte com segurança à fonte de dados local, instale um gateway de dados local.

O gateway pode ser usado por fluxos de dados e pipelines de dados do Data Factory para ingerir, preparar e transformar os dados locais e, depois, para carregá-los no OneLake com uma atividade Copy. O Data Factory oferece suporte a um conjunto abrangente de conectores para você se conectar a mais de 100 armazenamentos de dados diferentes.

Depois, você cria fluxos de dados com o Power Query, que fornece uma experiência intuitiva com uma interface low-code. Você pode usá-los para ingerir dados das fontes de dados e transformá-los usando qualquer uma das mais de 300 transformações de dados. Em seguida, você cria e orquestra um processo complexo de ETL (extração, transformação e carregamento) com pipelines de dados. Os processos de ETL podem atualizar fluxos de dados e executar muitas tarefas diferentes em escala, fazendo o processamento de petabytes de dados.

Nesse cenário, você já tem vários processos de ETL. Primeiro, você tem alguns pipelines no ADF (Azure Data Factory). Atualmente, esses pipelines ingerem os dados locais e os carregam em um data lake no Armazenamento do Azure usando runtime de integração auto-hospedada. Em segundo lugar, você tem uma estrutura de ingestão de dados no Azure Databricks escrita no Spark.

Agora que você está usando o Fabric, basta redirecionar o destino de saída dos pipelines do ADF para usar o conector de lakehouse. E, para a estrutura de ingestão no Azure Databricks, use as APIs do OneLake que oferecem suporte ao driver do ABFS (Azure Blog Filesystem) para integrar o OneLake ao Azure Databricks. (Você pode usar o mesmo método para integrar o OneLake ao Azure Synapse Analytics usando o Apache Spark.)

Você também tem algumas fontes de dados que estão no Banco de Dados SQL do Azure. Você precisa se conectar a essas fontes de dados usando pontos de extremidade privados. Nesse caso, você resolve configurar um gateway de dados de VNet (rede virtual) e usar fluxos de dados para se conectar com segurança aos dados do Azure e carregá-los no Fabric. Com os gateways de dados de VNet, não é necessário provisionar e gerenciar a infraestrutura (como é necessário fazer para o gateway de dados local). Isso porque o Fabric cria os contêineres de forma segura e dinâmica na Rede Virtual do Azure.

Ao desenvolver ou migrar a estrutura de ingestão de dados no Spark, você pode se conectar a fontes de dados no Azure de forma segura e privada a partir de notebooks e trabalhos do Fabric com a ajuda de pontos de extremidade privados gerenciados. Os pontos de extremidade privados gerenciados podem ser criados nos espaços de trabalho do Fabric para se conectar às fontes de dados no Azure que bloquearam o acesso público à Internet. Eles oferecem suporte a pontos de extremidade privados, como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Os pontos de extremidade privados gerenciados são provisionados e gerenciados em uma VNet gerenciada dedicada a um espaço de trabalho do Fabric. Ao contrário das Redes Virtuais do Azure típicas, você não encontra as VNets gerenciadas e os pontos de extremidade privados gerenciados no portal do Azure. Isso ocorre porque ambos são totalmente gerenciados pelo Fabric e você os encontra nas configurações do espaço de trabalho.

Como você já tem muitos dados armazenados em contas do ADLS (Azure Data Lake Storage) Gen2, basta conectar as cargas de trabalho do Fabric, como Spark e Power BI, a ele. Além disso, os atalhos do OneLake ADLS permitem se conectar facilmente aos dados existentes de qualquer experiência do Fabric, como pipelines de integração de dados, notebooks de engenharia de dados e relatórios do Power BI.

Os espaços de trabalho do Fabric que têm uma identidade de espaço de trabalho podem acessar com segurança as contas de armazenamento do ADLS Gen2, mesmo com a rede pública desabilitada. Isso é possível graças ao acesso confiável ao espaço de trabalho. Ele permite que o Fabric se conecte com segurança às contas de armazenamento usando uma rede de backbone da Microsoft. A comunicação não usa a Internet pública, ou seja, você pode desabilitar o acesso de redes públicas à conta de armazenamento e ainda permitir que determinados espaços de trabalho do Fabric se conectem a elas.

Conformidade

Você quer usar o Fabric para ingerir, armazenar, processar e analisar os dados com segurança na nuvem, mantendo a conformidade com as regulamentações do setor e as políticas da sua organização.

O Fabric é parte dos Serviços Principais do Microsoft Azure e é regido pelos Termos do Microsoft Online Services e pela Política de privacidade do Microsoft Enterprise. Embora as certificações geralmente ocorram após o lançamento do produto (Disponível geral ou GA), a Microsoft integra as melhores práticas de conformidade em todo o ciclo de vida de desenvolvimento. Essa abordagem proativa garante uma base sólida para futuras certificações, mesmo que elas sigam ciclos de auditoria estabelecidos. Em termos mais simples, a Microsoft prioriza a criação de conformidade desde o início, mesmo que a certificação formal venha depois.

O Fabric está em conformidade com muitos padrões do setor, como ISO 27001, 27017, 27018 e 27701. O Fabric também está em conformidade com a HIPAA, o que é fundamental para a privacidade e a segurança dos dados de saúde. Você pode verificar os Apêndices A e B nas Ofertas de conformidade do Microsoft Azure para obter informações detalhadas sobre quais serviços de nuvem estão no escopo das certificações. Você também pode acessar a documentação de auditoria do STP (Portal de Confiança do Serviço).

A conformidade é uma responsabilidade compartilhada. Para cumprir as leis e regulamentos, os provedores de serviços de nuvem e seus clientes entram em uma responsabilidade compartilhada para garantir que cada um faça sua parte. Ao considerar e avaliar os serviços de nuvem pública, é essencial entender o modelo de responsabilidade compartilhada e quais são as tarefas de segurança sob responsabilidade do provedor de nuvem e quais tarefas ficam sob a sua responsabilidade.

Manipulação de dados

Como você está lidando com informações confidenciais de pacientes, precisa garantir que todos os dados tenham proteção suficiente, estejam eles inativos ou em trânsito.

A criptografia em repouso oferece proteção de dados para dados armazenados (em repouso). Os ataques contra dados inativos incluem tentativas de obtenção de acesso físico ao hardware na qual os dados são armazenados e, em seguida, comprometidos no hardware. A criptografia em repouso é projetada para impedir que o invasor acesse os dados não criptografados, assegurando que os dados sejam criptografados quando em disco. A criptografia em repouso é uma medida obrigatória necessária para a conformidade com alguns dos padrões e regulamentações do setor, como a ISO (International Organization for Standardization) e a HIPAA (Health Insurance Portability and Accountability Act).

Todos os armazenamentos de dados do Fabric são criptografados quando inativos usando chaves gerenciadas pela Microsoft, o que fornece proteção aos dados de clientes e aos dados e metadados do sistema. A persistência dos dados em armazenamento permanente não é feita enquanto estiverem em um estado não criptografado. Com as chaves gerenciadas pela Microsoft, você se beneficia da criptografia dos dados inativos sem o risco ou o custo de uma solução de gerenciamento de chaves personalizada.

Os dados também são criptografados em trânsito. Todo o tráfego de entrada para pontos de extremidade do Fabric dos sistemas cliente impõe como mínimo o TLS (Transport Layer Security) 1.2. Ele negocia com o TLS 1.3 sempre que possível. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de adulteração, interceptação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.

Além da criptografia, o tráfego de rede entre os serviços Microsoft sempre é roteado pela rede global da Microsoft, uma das maiores redes de backbone do mundo.

Criptografia de chave gerenciada pelo cliente (CMK) e Microsoft Fabric

As Chaves Gerenciadas pelo Cliente (CMKs) permitem que você criptografe dados inativos usando as próprias chaves. Por padrão, o Microsoft Fabric criptografa dados inativos usando chaves de criptografia gerenciadas pela plataforma. Nesse modelo, a Microsoft é responsável por todos os aspectos do gerenciamento de chaves e os dados inativos no OneLake são criptografados usando suas chaves. Do ponto de vista da conformidade, os clientes podem ter a necessidade de usar a CMK para criptografar dados inativos. No modelo CMK, o cliente assume o controle total da chave e usa suas chaves para criptografar dados inativos.

O diagrama mostra uma representação de alto nível do uso da CMK usando atalhos do Fabric OneLake.

Se você precisar usar a CMK para criptografar dados inativos, recomendamos usar serviços de armazenamento em nuvem (ADLS Gen2, AWS S3, GCS) com a criptografia CMK habilitada e acessar dados do Microsoft Fabric usando atalhos do OneLake. Nesse padrão, seus dados continuam a residir em um serviço de armazenamento em nuvem ou em uma solução de armazenamento externo em que a criptografia em repouso usando a CMK está habilitada e você pode executar operações de leitura in-loco do Fabric enquanto permanece em conformidade. Depois que um atalho é criado, no Fabric, os dados podem ser acessados por outras experiências do Fabric.

Há algumas considerações ao usar esse padrão:

  • Use o padrão discutido aqui para dados que têm o requisito de criptografia em repouso usando CMK. Os dados que não têm esse requisito podem ser criptografados em repouso usando chaves gerenciadas pela plataforma e esses dados podem ser armazenados nativamente no Microsoft Fabric OneLake.
  • O Fabric Lakehouse e o banco de dados do KQL são as duas cargas de trabalho no Microsoft Fabric que dão suporte à criação de atalhos. Nesse padrão em que os dados continuam a residir em um serviço de armazenamento externo em que a CMK está habilitada, você pode usar atalhos nos bancos de dados de Lakehouses e do KQL para trazer seus dados para o Microsoft Fabric para análise, mas os dados são armazenados fisicamente fora do OneLake, onde a criptografia CMK está habilitada.
  • O atalho do ADLS Gen2 dá suporte à gravação e ao uso desse tipo de atalho, você também pode gravar dados de volta no serviço de armazenamento e eles serão criptografados em repouso usando a CMK. Ao usar a CMK com o ADLS Gen2, aplicam-se as seguintes considerações para o AKV (Azure Key Vault) e o Armazenamento do Azure.
  • Se você estiver usando uma solução de armazenamento de terceiros compatível com o AWS S3 (Cloudflare, Qumolo Core com ponto de extremidade público, MinIO público e Dell ECS com ponto de extremidade público) e tiver a CMK habilitada, o padrão discutido aqui neste documento poderá ser estendido a essas soluções de armazenamento de terceiros. Usando o atalho compatível com o Amazon S3, você pode trazer dados para o Fabric usando um atalho dessas soluções. Assim como ocorre nos serviços de armazenamento baseados em nuvem, é possível armazenar os dados em um armazenamento externo com criptografia CMK e realizar operações de leitura no local.
  • O AWS S3 oferece suporte à criptografia em repouso usando chaves gerenciadas pelo cliente. O Fabric pode executar leituras no local em buckets do S3 usando o atalho do S3; no entanto, as operações de gravação usando um atalho para o AWS S3 não são compatíveis.
  • O armazenamento em nuvem do Google é compatível com a criptografia de dados usando chaves gerenciadas pelo cliente. O Fabric pode executar leituras no local no GCS; no entanto, as operações de gravação usando um atalho para o GCS não são compatíveis.
  • Habilite a auditoria para o Microsoft Fabric para acompanhar as atividades.
  • No Microsoft Fabric, o Power BI dá suporte à chave gerenciada pelo cliente com Traga suas próprias chaves de criptografia para o Power BI.
  • Desabilite o recurso de cache de atalho para atalhos compatíveis com S3, GCS e S3. pois os dados armazenados em cache são persistentes no OneLake.

Residência de dadosResidência de dados

Você está lidando com dados de pacientes e, por motivos de conformidade, a organização determinou que os dados nunca saiam do limite geográfico dos Estados Unidos. As principais operações da organização ocorrem em Nova York e na sede em Seattle. Ao configurar o Power BI, a organização escolheu a região Leste dos EUA como a região inicial do locatário. Para suas operações, você criou uma capacidade do Fabric na região Oeste dos EUA, que está mais próxima de suas fontes de dados. Como o OneLake está disponível em todo o mundo, você tem a preocupação de não conseguir atender às políticas de residência de dados da organização ao usar o Fabric.

No Fabric, você descobre que pode criar capacidades Multi-Geo, que são capacidades localizadas em geografias (áreas geográficas) diferentes da região de origem do locatário. Você atribui os espaços de trabalho do Fabric a essas capacidades. Nesse caso, a computação e o armazenamento (incluindo armazenamento do OneLake e específico da experiência) de todos os itens no espaço de trabalho residem na região multigeográfica. No entanto, os metadados do locatário permanecerão na região de origem. Os dados serão armazenados e processados apenas nessas duas geografias, para garantir que os requisitos de residência de dados da organização sejam atendidos.

Controle de acesso

É necessário garantir que apenas você e seus colegas engenheiros de dados tenham acesso aos dados nas camadas bronze e prata do lakehouse. Essas camadas permitem que você execute a limpeza, a validação, a transformação e o enriquecimento dos dados. Você precisa restringir o acesso aos dados na camada ouro apenas a usuários autorizados, como analistas de dados e a usuários corporativos, que podem usar os dados para vários fins analíticos, como relatórios e análises.

O Fabric fornece um modelo de permissão flexível para controlar o acesso a itens e dados nos espaços de trabalho. O espaço de trabalho é uma entidade lógica protegível para agrupar itens no Fabric. Use funções de espaço de trabalho para controlar o acesso a itens nos espaços de trabalho. As quatro funções básicas de um espaço de trabalho são:

  • Administrador: pode visualizar, modificar, compartilhar e gerenciar todo o conteúdo no espaço de trabalho, incluindo o gerenciamento de permissões.
  • Membro: pode visualizar, modificar e compartilhar todo o conteúdo no espaço de trabalho.
  • Contribuidor: pode visualizar e modificar todo o conteúdo no espaço de trabalho.
  • Espectador: pode visualizar todo o conteúdo no espaço de trabalho, mas não pode modificá-lo.

Nesse cenário, você criará três espaços de trabalho, um para cada uma das camadas medallion (bronze, prata e ouro). Como você criou o espaço de trabalho, você será automaticamente atribuído à função de Administrador.

Em seguida, você adicionará um grupo de segurança à função Colaborador desses três espaços de trabalho. Como o grupo de segurança inclui seus colegas engenheiros como membros, eles podem criar e modificar itens do Fabric nesses espaços de trabalho. No entanto, eles não podem compartilhar itens com mais ninguém. Além disso, eles não poderão conceder acesso a outros usuários.

Nos espaços de trabalho bronze e prata, você e seus colegas engenheiros criam itens do Fabric para ingerir, armazenar e processar os dados. Os itens do Fabric são formados por um lakehouse, pipelines e notebooks. No espaço de trabalho ouro, você criará dois lakehouses, vários pipelines e notebooks e um modelo semântico Direct Lake, que oferece desempenho de consulta rápido de dados armazenados em um dos lakehouses.

Em seguida, você considerará cuidadosamente como os analistas de dados e os usuários corporativos podem acessar os dados aos quais eles têm permissão de acesso. Especificamente, eles só podem acessar dados relevantes às suas respectivas funções e departamentos.

O primeiro lakehouse contém os dados reais e não impõe nenhuma permissão de dados em seu ponto de extremidade de análise do SQL. O segundo lakehouse contém atalhos para o primeiro lakehouse e impõe permissões de dados granulares em seu ponto de extremidade de análise do SQL. O modelo semântico se conecta ao primeiro lakehouse. Para impor permissões de dados apropriadas aos usuários (para que só possam acessar dados relevantes para suas respectivas funções e departamentos), você não compartilha o primeiro lakehouse com os usuários. Em vez disso, você compartilha apenas o modelo semântico Direct Lake e o segundo lakehouse que impõe permissões de dados em seu ponto de extremidade de análise do SQL.

Você configura o modelo semântico para usar uma identidade fixa e, em seguida, implementa a RLS (segurança em nível de linha) no modelo semântico para impor regras de modelo que controlam quais dados os usuários podem acessar. Em seguida, você compartilha apenas o modelo semântico com os analistas de dados e usuários corporativos, pois eles não devem acessar os outros itens no espaço de trabalho, como os pipelines e notebooks. Por fim, você concede permissão de criação no modelo semântico para que os usuários possam criar relatórios do Power BI. Dessa forma, o modelo semântico se torna um modelo semântico compartilhado e uma fonte para os relatórios do Power BI.

Os analistas de dados precisam de acesso ao segundo lakehouse no espaço de trabalho ouro. Eles se conectarão ao ponto de extremidade de análise do SQL desse lakehouse para escrever consultas SQL e executar análises. Assim, você compartilha esse lakehouse com eles e fornece acesso apenas aos objetos de que eles precisam (como tabelas, linhas e colunas com regras de mascaramento) no ponto de extremidade de análise do SQL do lakehouse usando o modelo de segurança do SQL. Agora, os analistas de dados só podem acessar dados relevantes para suas respectivas funções e departamentos e não podem acessar os outros itens no espaço de trabalho, como pipelines e notebooks.

Cenários comuns de segurança

A tabela a seguir apresenta cenários de segurança comuns e as ferramentas que você pode usar para lidar com eles.

Cenário Ferramentas Direção
Sou um desenvolvedor de ETL e quero carregar grandes volumes de dados para o Fabric em escala a partir de vários sistemas e tabelas de origem. Os dados de origem são locais (ou outra nuvem) e estão protegidos por firewalls e/ou fontes de dados do Azure com pontos de extremidade privados. Use o gateway de dados local com pipelines de dados (atividade Copy). Saída
Sou um usuário avançado e quero carregar dados para o Fabric a partir de sistemas de origem aos quais tenho acesso. Não sou um desenvolvedor, preciso somente transformar os dados usando uma interface low-code. Os dados de origem são locais (ou outra nuvem) e estão protegidos por firewalls. Use um gateway de dados local com Fluxo de dados Gen 2. Saída
Sou um usuário avançado e quero carregar dados no Fabric a partir de sistemas de origem aos quais tenho acesso. Os dados de origem estão no Azure protegidos por pontos de extremidade privados e não quero instalar e manter a infraestrutura de gateway de dados local. Use um gateway de dados de VNet com Fluxo de dados Gen 2. Saída
Sou um desenvolvedor e escrevo código de ingestão de dados usando notebooks do Spark. Quero carregar dados no Fabric a partir de sistemas de origem aos quais tenho acesso. Os dados de origem estão no Azure protegidos por pontos de extremidade privados e não quero instalar e manter a infraestrutura de gateway de dados local. Use notebooks do Fabric com pontos de extremidade privados do Azure. Saída
Tenho muitos pipelines existentes no ADF (Azure Data Factory) e nos pipelines do Synapse que se conectam às minhas fontes de dados e carregam dados no Azure. Agora quero modificar esses pipelines para carregar dados no Fabric. Use o conector do Lakehouse em pipelines existentes. Saída
Tenho uma estrutura de ingestão de dados desenvolvida no Spark que se conecta às minhas fontes de dados com segurança e as carrega no Azure. Estou executando-a no Azure Databricks e/ou no Synapse Spark. Quero continuar usando o Azure Databricks e/ou o Synapse Spark para carregar dados no Fabric. Use o OneLake e a API do ADLS (Azure Data Lake Storage) Gen2 (driver do Azure Blob Filesystem) Saída
Quero garantir que meus pontos de extremidade do Fabric fiquem protegidos da Internet pública. Como um serviço SaaS, o back-end do Fabric já está protegido da Internet pública. Para obter mais proteção, use as políticas de acesso condicional do Microsoft Entra para fabric e/ou habilite links privados no nível do locatário para Fabric e bloqueie o acesso público à Internet. Entrada
Quero garantir que o Fabric seja acessado somente da minha rede corporativa e/ou de dispositivos compatíveis. Use políticas de acesso condicional no Microsoft Entra para Fabric. Entrada
Quero garantir que qualquer pessoa execute a autenticação multifator ao acessar o Fabric. Use políticas de acesso condicional no Microsoft Entra para Fabric. Entrada
Quero bloquear todo o meu locatário do Fabric da Internet pública e permitir o acesso somente a partir de minhas redes virtuais. Habilite links privados no nível do locatário para o Fabric e bloqueie o acesso público à Internet. Entrada

Para obter mais informações sobre a segurança do Fabric, consulte os seguintes recursos.