Partilhar via


Proteja o tráfego de entrada

O tráfego de entrada é o tráfego que entra no Fabric a partir da Internet. Este artigo explica as diferenças entre as duas maneiras de proteger o tráfego de entrada no Microsoft Fabric, links privados e Acesso Condicional do Entra. Use este artigo para decidir qual método é melhor para sua organização.

  • Links privados (Opção 1, Customer Vnet) - O Fabric usa um endereço IP privado da sua rede virtual. O ponto de extremidade permite que os usuários em sua rede se comuniquem com o Fabric pelo endereço IP privado usando links privados.

  • Acesso Condicional Entra - (Opção 2, Utilizador) - Quando um utilizador autentica o acesso é determinado com base num conjunto de políticas que podem incluir endereço IP, localização e dispositivos geridos.

Um diagrama mostrando dois métodos de autenticação para o tráfego de entrada no Fabric, Vnets e Microsoft Entra ID.

Depois que o tráfego entra na Malha, ele é autenticado pelo Microsoft Entra ID, que é o mesmo método de autenticação usado pelo Microsoft 365, OneDrive e Dynamics 365. A autenticação Microsoft Entra ID permite que os usuários se conectem com segurança a aplicativos em nuvem de qualquer dispositivo e rede, seja em casa, remotamente ou em seu escritório corporativo.

A plataforma de back-end Fabric é protegida por uma rede virtual e não é diretamente acessível a partir da Internet pública, exceto por meio de pontos de extremidade seguros. Para entender como o tráfego é protegido no Fabric, revise o diagrama de arquitetura do Fabric.

Por padrão, o Fabric se comunica entre experiências usando a rede de backbone interna da Microsoft. Quando um relatório do Power BI carrega dados do OneLake, os dados passam pela rede interna da Microsoft. Essa configuração é diferente de ter que configurar vários serviços de plataforma como serviço (PaaS) para se conectar uns aos outros através de uma rede privada. A comunicação de entrada entre clientes, como seu navegador ou o SQL Server Management Studio (SSMS) e o Fabric, usa o protocolo TLS 1.2 e negocia com o TLS 1.3 quando possível.

As configurações de segurança padrão do Fabric incluem:

  • Microsoft Entra ID que é usado para autenticar todas as solicitações.

  • Após a autenticação bem-sucedida, as solicitações são roteadas para o serviço de back-end apropriado por meio de pontos de extremidade gerenciados seguros pela Microsoft.

  • O tráfego interno entre experiências no Fabric é roteado pelo backbone da Microsoft.

  • O tráfego entre clientes e Fabric é criptografado usando pelo menos o protocolo Transport Layer Security (TLS) 1.2.

Entra Acesso Condicional

Todas as interações com o Fabric são autenticadas com o Microsoft Entra ID. O Microsoft Entra ID baseia-se no modelo de segurança Zero Trust , que pressupõe que não está totalmente protegido dentro do perímetro de rede da sua organização. Em vez de olhar para a sua rede como um limite de segurança, o Zero Trust olha para a identidade como o perímetro principal para a segurança.

Para determinar o acesso no momento da autenticação, você pode definir e aplicar políticas de acesso condicional com base na identidade dos usuários, no contexto do dispositivo, no local, na rede e na sensibilidade do aplicativo. Por exemplo, você pode exigir autenticação multifator, conformidade de dispositivo ou aplicativos aprovados para acessar seus dados e recursos no Fabric. Você também pode bloquear ou limitar o acesso de locais, dispositivos ou redes de risco.

As políticas de acesso condicional ajudam a proteger seus dados e aplicativos sem comprometer a produtividade e a experiência do usuário. Aqui estão alguns exemplos de restrições de acesso que você pode impor usando o acesso condicional.

  • Defina uma lista de IPs para conectividade de entrada com a malha.

  • Use a autenticação multifator (MFA).

  • Restrinja o tráfego com base em parâmetros como país de origem ou tipo de dispositivo.

O Fabric não oferece suporte a outros métodos de autenticação, como chaves de conta ou autenticação SQL, que dependem de nomes de usuário e senhas.

Configurar o acesso condicional

Para configurar o acesso condicional no Fabric, você precisa selecionar vários serviços do Azure relacionados ao Fabric, como Power BI, Azure Data Explorer, Banco de Dados SQL do Azure e Armazenamento do Azure.

Nota

O acesso condicional pode ser considerado muito amplo para alguns clientes, pois qualquer política será aplicada ao Fabric e aos serviços relacionados do Azure.

Licenciamento

O acesso condicional requer licenças do Microsoft Entra ID P1. Muitas vezes, essas licenças já estão disponíveis em sua organização porque são compartilhadas com outros produtos da Microsoft, como o Microsoft 365. Para encontrar a licença certa para seus requisitos, consulte Requisitos de licença.

Acesso fidedigno

O Fabric não precisa residir em sua rede privada, mesmo quando você tem seus dados armazenados dentro de uma. Com os serviços PaaS, é comum colocar a computação na mesma rede privada da conta de armazenamento. No entanto, com o Fabric isso não é necessário. Para habilitar o acesso confiável à malha, você pode usar recursos como gateways de dados locais, acesso a espaços de trabalho confiáveis e pontos de extremidade privados gerenciados. Para obter mais informações, consulte Segurança no Microsoft Fabric.

Com pontos de extremidade privados, seu serviço recebe um endereço IP privado de sua rede virtual. O ponto de extremidade permite que outros recursos na rede se comuniquem com o serviço através do endereço IP privado.

Usando links privados, um túnel do serviço para uma de suas sub-redes cria um canal privado. A comunicação de dispositivos externos viaja de seu endereço IP para um ponto de extremidade privado nessa sub-rede, através do túnel e para o serviço.

Depois de implementar links privados, o Fabric não é mais acessado pela Internet pública. Para acessar o Fabric, todos os usuários precisam se conectar por meio da rede privada. A rede privada é necessária para todas as comunicações com o Fabric, incluindo a exibição de um relatório do Power BI no navegador e o uso do SQL Server Management Studio (SSMS) para se conectar a uma cadeia de caracteres de conexões SQL como <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Redes locais

Se você estiver usando redes locais, poderá estendê-las para a Rede Virtual do Azure (VNet) usando um circuito de Rota Expressa, ou uma VPN site a site, para acessar a Malha usando conexões privadas.

Largura de banda

Com links privados, todo o tráfego para o Fabric passa pelo ponto de extremidade privado, causando possíveis problemas de largura de banda. Os usuários não podem mais carregar recursos globais distribuídos não relacionados a dados, como imagens .css e arquivos .html usados pelo Fabric, de sua região. Esses recursos são carregados a partir do local do ponto de extremidade privado. Por exemplo, para usuários australianos com um ponto de extremidade privado dos EUA, o tráfego viaja para os EUA primeiro. Isso aumenta os tempos de carregamento e pode reduzir o desempenho.

Custo

O custo dos links privados e o aumento da largura de banda da Rota Expressa para permitir a conectividade privada da sua rede podem adicionar custos à sua organização.

Considerações e limitações

Com links privados, você está fechando o Fabric para a internet pública. Como resultado, há muitas considerações e limitações que você precisa levar em conta.