Segurança no Microsoft Fabric
O Microsoft Fabric é uma plataforma SaaS (software como serviço) que permite aos usuários obter, criar, compartilhar e visualizar dados.
Como um serviço SaaS, o Fabric oferece um pacote de segurança completo para toda a plataforma. O Fabric remove o custo e a responsabilidade de manter sua solução de segurança e a transfere para a nuvem. Com o Fabric, você pode usar a experiência e os recursos da Microsoft para manter seus dados seguros, corrigir vulnerabilidades, monitorar ameaças e cumprir regulamentos. O Fabric também permite gerenciar, controlar e auditar suas configurações de segurança, de acordo com suas necessidades e demandas em constante mudança.
À medida que você traz seus dados para a nuvem e os usa com várias experiências analíticas, como o Power BI, o Data Factory e a próxima geração do Synapse, a Microsoft garante que os recursos internos de segurança e confiabilidade protejam seus dados em repouso e em trânsito. A Microsoft também garante que seus dados sejam recuperáveis em casos de falhas de infraestrutura ou desastres.
A segurança da malha é:
Sempre ativado - Todas as interações com o Fabric são criptografadas por padrão e autenticadas usando o Microsoft Entra ID. Toda a comunicação entre as experiências do Fabric viaja pela internet de backbone da Microsoft. Os dados em repouso são automaticamente armazenados criptografados. Para regular o acesso ao Fabric, você pode adicionar recursos de segurança extras, como Links Privados ou Acesso Condicional do Entra. A malha também pode se conectar a dados protegidos por um firewall ou uma rede privada usando acesso confiável.
Compatível – A malha tem soberania de dados pronta para uso com várias capacidades geográficas. O Fabric também suporta uma ampla gama de padrões de conformidade.
Governável - O Fabric vem com um conjunto de ferramentas de governança, como linhagem de dados, rótulos de proteção de informações, prevenção de perda de dados e integração de controle.
Configurável - Você pode configurar a segurança do Fabric de acordo com suas políticas organizacionais.
Evolução - A Microsoft está constantemente melhorando a segurança do Fabric, adicionando novos recursos e controles.
Autenticar
O Microsoft Fabric é uma plataforma SaaS, como muitos outros serviços da Microsoft, como Azure, Microsoft Office, OneDrive e Dynamics. Todos esses serviços SaaS da Microsoft, incluindo o Fabric, usam o Microsoft Entra ID como seu provedor de identidade baseado em nuvem. O Microsoft Entra ID ajuda os usuários a se conectarem a esses serviços de forma rápida e fácil a partir de qualquer dispositivo e rede. Cada solicitação de conexão ao Fabric é autenticada com o Microsoft Entra ID, permitindo que os usuários se conectem com segurança ao Fabric a partir de seu escritório corporativo, quando trabalham em casa ou de um local remoto.
Compreender a segurança da rede
O Fabric é um serviço SaaS executado na nuvem da Microsoft. Alguns cenários envolvem a conexão com dados que estão fora da plataforma Fabric. Por exemplo, visualizar um relatório da sua própria rede ou conectar-se a dados que estão em outro serviço. As interações dentro do Fabric usam a rede interna da Microsoft e o tráfego fora do serviço é protegido por padrão. Para obter mais informações e uma descrição detalhada, consulte Dados em trânsito.
Segurança da rede de entrada
Sua organização pode querer restringir e proteger o tráfego de rede que entra no Fabric com base nos requisitos da sua empresa. Com o Acesso Condicional e Links Privados do Microsoft Entra ID, você pode selecionar a solução de entrada certa para sua organização.
Acesso Condicional do Microsoft Entra ID
O Microsoft Entra ID fornece Fabric com Acesso Condicional, que permite proteger o acesso ao Fabric em todas as conexões. Aqui estão alguns exemplos de restrições de acesso que você pode impor usando o Acesso Condicional.
Defina uma lista de IPs para conectividade de entrada com a malha.
Use a autenticação multifator (MFA).
Restrinja o tráfego com base em parâmetros como país de origem ou tipo de dispositivo.
Para configurar o acesso condicional, consulte Acesso condicional na malha.
Para entender mais sobre a autenticação no Fabric, consulte Fundamentos de segurança do Microsoft Fabric.
ligações privadas
Os links privados permitem a conectividade segura com o Fabric restringindo o acesso ao locatário do Fabric a partir de uma rede virtual (VNet) do Azure e bloqueando todo o acesso público. Isso garante que apenas o tráfego de rede dessa VNet tenha permissão para acessar recursos de malha, como Notebooks, Lakehouses, data warehouses e bancos de dados em seu locatário.
Para configurar links privados na malha, consulte Configurar e usar links privados.
Segurança da rede de saída
O Fabric tem um conjunto de ferramentas que permitem que você se conecte a fontes de dados externas e traga esses dados para o Fabric de forma segura. Esta seção lista diferentes maneiras de importar e se conectar a dados de uma rede segura para a malha.
Acesso ao espaço de trabalho confiável
Com o Fabric, você pode acessar contas do Azure Data Lake Gen 2 habilitadas para firewall com segurança. Os espaços de trabalho de malha que têm uma identidade de espaço de trabalho podem acessar com segurança contas do Azure Data Lake Gen 2 com acesso à rede pública habilitado, a partir de redes virtuais e endereços IP selecionados. Você pode limitar o acesso do ADLS gen 2 a espaços de trabalho específicos do Fabric. Para obter mais informações, consulte Acesso a espaços de trabalho confiáveis.
Nota
As identidades de espaço de trabalho de malha só podem ser criadas em espaços de trabalho associados a uma capacidade de SKU de malha F. Para obter informações sobre como comprar uma assinatura do Fabric, consulte Comprar uma assinatura do Microsoft Fabric.
Pontos de extremidade privados gerenciados
Os pontos de extremidade privados gerenciados permitem conexões seguras com fontes de dados, como bancos de dados SQL do Azure, sem expô-los à rede pública ou exigir configurações de rede complexas.
Redes virtuais gerenciadas
Redes virtuais gerenciadas são redes virtuais criadas e gerenciadas pelo Microsoft Fabric para cada espaço de trabalho de malha. As redes virtuais gerenciadas fornecem isolamento de rede para cargas de trabalho do Fabric Spark, o que significa que os clusters de computação são implantados em uma rede dedicada e não fazem mais parte da rede virtual compartilhada.
As redes virtuais gerenciadas também habilitam recursos de segurança de rede, como pontos de extremidade privados gerenciados e suporte a links privados para itens de Engenharia de Dados e Ciência de Dados no Microsoft Fabric que usam o Apache Spark.
Gateway de dados
Para se conectar a fontes de dados locais ou a uma fonte de dados que possa estar protegida por um firewall ou uma rede virtual, você pode usar uma destas opções:
Gateway de dados local - O gateway atua como uma ponte entre suas fontes de dados locais e a malha. O gateway é instalado em um servidor dentro da rede e permite que o Fabric se conecte às fontes de dados por meio de um canal seguro sem a necessidade de abrir portas ou fazer alterações na rede.
Gateway de dados de rede virtual (VNet) - O gateway de rede virtual permite que você se conecte dos serviços de nuvem da Microsoft aos seus serviços de dados do Azure em uma rede virtual, sem a necessidade de um gateway de dados local.
Conectar-se ao OneLake a partir de um serviço existente
Você pode se conectar ao Fabric usando seu serviço existente da Plataforma Azure como Serviço (PaaS). Para Synapse e Azure Data Factory (ADF), você pode usar o Azure Integration Runtime (IR) ou a rede virtual gerenciada do Azure Data Factory. Você também pode se conectar a esses serviços e outros serviços, como mapeamento de fluxos de dados, clusters Synapse Spark, clusters Databricks Spark e Azure HDInsight usando APIs OneLake.
Tags de serviço do Azure
Use Tags de serviço para ingerir dados sem o uso de gateways de dados, de fontes de dados implantadas em uma rede virtual do Azure, como VMs (Máquinas Virtuais) SQL do Azure, Instância Gerenciada (MI) do SQL do Azure e APIs REST. Você também pode usar marcas de serviço para obter tráfego de uma rede virtual ou de um firewall do Azure. Por exemplo, as tags de serviço podem permitir o tráfego de saída para o Fabric para que um usuário em uma VM possa se conectar às cadeias de conexão do Fabric SQL do SSMS, enquanto está impedido de acessar outros recursos públicos da Internet.
Listas de permissões de IP
Se você tiver dados que não residem no Azure, poderá habilitar uma lista de permissões de IP na rede da sua organização para permitir o tráfego de e para a Malha. Uma lista de permissões de IP é útil se você precisar obter dados de fontes de dados que não oferecem suporte a tags de serviço, como fontes de dados locais. Com esses atalhos, você pode obter dados sem copiá-los para o OneLake usando um ponto de extremidade de análise SQL do Lakehouse ou o Direct Lake.
Você pode obter a lista de IPs de malha de tags de serviço no local. A lista está disponível como um arquivo JSON ou programaticamente com APIs REST, PowerShell e CLI (Interface de Linha de Comando) do Azure.
Proteger Dados
No Fabric, todos os dados armazenados no OneLake são criptografados em repouso. Todos os dados em repouso são armazenados em sua região de origem, ou em uma de suas capacidades em uma região remota de sua escolha, para que você possa atender aos regulamentos de soberania de dados em repouso. Para obter mais informações, consulte Fundamentos de segurança do Microsoft Fabric.
Compreender os inquilinos em várias geografias
Muitas organizações têm uma presença global e exigem serviços em várias geografias do Azure. Por exemplo, uma empresa pode ter sua sede nos Estados Unidos, enquanto faz negócios em outras áreas geográficas, como a Austrália. Para cumprir as regulamentações locais, as empresas com presença global precisam garantir que os dados permaneçam armazenados em repouso em várias regiões. No Fabric, isso é chamado de multi-geo.
A camada de execução de consulta, os caches de consulta e os dados de item atribuídos a um espaço de trabalho multigeográfico permanecem na geografia do Azure de sua criação. No entanto, alguns metadados e processamento são armazenados em repouso na geografia de casa do inquilino.
O Fabric faz parte de um ecossistema maior da Microsoft. Se sua organização já estiver usando outros serviços de assinatura de nuvem, como Azure, Microsoft 365 ou Dynamics 365, o Fabric opera no mesmo locatário do Microsoft Entra. Seu domínio organizacional (por exemplo, contoso.com) está associado ao Microsoft Entra ID. Como todos os serviços de nuvem da Microsoft.
O Fabric garante que seus dados estejam seguros entre regiões quando você estiver trabalhando com vários locatários que têm várias capacidades em várias geografias.
Separação lógica de dados - A plataforma Fabric fornece isolamento lógico entre locatários para proteger seus dados.
Soberania de dados - Para começar a trabalhar com multi-geo, consulte Configurar suporte multi-Geo para malha.
Aceder a dados
A malha controla o acesso aos dados usando espaços de trabalho. Nos espaços de trabalho, os dados aparecem na forma de itens de malha e os usuários não podem exibir ou usar itens (dados), a menos que você lhes conceda acesso ao espaço de trabalho. Você pode encontrar mais informações sobre permissões de espaço de trabalho e item em Modelo de permissão.
Funções do espaço de trabalho
O acesso ao espaço de trabalho está listado na tabela abaixo. Inclui funções de espaço de trabalho e segurança Fabric e OneLake. Os usuários com uma função de visualizador podem executar consultas SQL, DAX (Data Analysis Expressions) ou MDX (Multidimensional Expressions), mas não podem acessar itens de malha ou executar um bloco de anotações.
Role | Acesso à área de trabalho | Acesso OneLake |
---|---|---|
Administrador, membro e contribuidor | Pode usar todos os itens no espaço de trabalho | ✅ |
Visualizador | Pode ver todos os itens no espaço de trabalho | ❌ |
Partilhar itens
Você pode compartilhar itens de malha com usuários em sua organização que não têm nenhuma função de espaço de trabalho. O compartilhamento de itens oferece acesso restrito, permitindo que os usuários acessem apenas o item compartilhado no espaço de trabalho.
Limitar o acesso
Você pode limitar o acesso do visualizador aos dados usando segurança em nível de linha (RLS), segurança em nível de coluna (CLS) e segurança em nível de objeto (OLS). Com RLS, CLS e OLS, você pode criar identidades de usuário que têm acesso a determinadas partes de seus dados e limitar os resultados SQL que retornam apenas o que a identidade do usuário pode acessar.
Você também pode adicionar RLS a um conjunto de dados DirectLake. Se você definir segurança para SQL e DAX, o DirectLake retornará ao DirectQuery para tabelas com RLS em SQL. Nesses casos, os resultados DAX ou MDX são limitados à identidade do usuário.
Para expor relatórios usando um conjunto de dados DirectLake com RLS sem um fallback do DirectQuery, use o compartilhamento direto de conjunto de dados ou aplicativos no Power BI. Com aplicativos no Power BI, você pode dar acesso a relatórios sem acesso de visualizador. Esse tipo de acesso significa que os usuários não podem usar SQL. Para habilitar o DirectLake para ler os dados, você precisa alternar a credencial da fonte de dados de logon único (SSO) para uma identidade fixa que tenha acesso aos arquivos no lago.
Proteger os dados
O Fabric oferece suporte a rótulos de sensibilidade do Microsoft Purview Information Protection. Esses são os rótulos, como Geral, Confidencial e Altamente Confidencial , que são amplamente usados em aplicativos do Microsoft Office, como Word, PowerPoint e Excel, para proteger informações confidenciais. No Fabric, você pode classificar itens que contêm dados confidenciais usando esses mesmos rótulos de sensibilidade. Em seguida, os rótulos de sensibilidade seguem os dados automaticamente de item para item à medida que fluem pelo Fabric, desde a fonte de dados até o usuário corporativo. O rótulo de sensibilidade segue mesmo quando os dados são exportados para formatos suportados, como PBIX, Excel, PowerPoint e PDF, garantindo que seus dados permaneçam protegidos. Somente usuários autorizados podem abrir o arquivo. Para obter mais informações, consulte Governança e conformidade no Microsoft Fabric.
Para ajudá-lo a governar, proteger e gerenciar seus dados, você pode usar o Microsoft Purview. O Microsoft Purview e o Fabric trabalham juntos permitindo que você armazene, analise e administre seus dados a partir de um único local, o hub Microsoft Purview.
Recuperar dados
A resiliência de dados de malha garante que seus dados estejam disponíveis em caso de desastre. O Fabric também permite que você recupere seus dados em caso de desastre, recuperação de desastres. Para obter mais informações, consulte Confiabilidade no Microsoft Fabric.
Administrar malha
Como administrador no Fabric, você pode controlar os recursos de toda a organização. A malha permite a delegação da função de administrador a capacidades, espaços de trabalho e domínios. Ao delegar responsabilidades de administrador às pessoas certas, você pode implementar um modelo que permite que vários administradores importantes controlem as configurações gerais do Fabric em toda a organização, enquanto outros administradores responsáveis pelas configurações relacionadas a áreas específicas.
Usando várias ferramentas, os administradores também podem monitorar os principais aspetos da malha, como o consumo de capacidade.
Registos de Auditoria
Para exibir seus logs de auditoria, siga as instruções em Rastrear atividades do usuário no Microsoft Fabric. Você também pode consultar a lista de operações para ver quais atividades estão disponíveis para pesquisa nos logs de auditoria.
Capacidades
Consulte esta seção para obter uma lista de alguns dos recursos de segurança disponíveis no Microsoft Fabric.
Capacidade | Description |
---|---|
Acesso condicional | Proteja seus aplicativos usando o Microsoft Entra ID |
Sistema de proteção de dados | Controle como os engenheiros da Microsoft acessam seus dados |
Segurança de malha e OneLake | Saiba como proteger seus dados no Fabric e no OneLake. |
Resiliência | Fiabilidade e resiliência regional com zonas de disponibilidade do Azure |
Etiquetas de serviço | Habilitar uma Instância Gerenciada SQL (MI) do Azure para permitir conexões de entrada do Microsoft Fabric |