Поделиться через

Комплексный сценарий безопасности Microsoft Fabric

  • Статья

Безопасность — это ключевой аспект любого решения аналитики данных, особенно при использовании конфиденциальных или конфиденциальных данных. По этой причине Microsoft Fabric предоставляет полный набор функций безопасности, позволяющих защитить данные неактивных и передаваемых данных, а также управлять доступом и разрешениями для пользователей и приложений.

В этой статье вы узнаете о концепциях и функциях безопасности Fabric, которые помогут вам уверенно создать собственное аналитическое решение с помощью Fabric.

Общие сведения

В этой статье представлен сценарий, в котором вы являетесь инженером по обработке и анализу данных, который работает в организации здравоохранения в США. Организация собирает и анализирует данные пациентов, полученные из различных систем, включая электронные медицинские записи, результаты лаборатории, страховые претензии и носимые устройства.

Вы планируете построить lakehouse с помощью архитектуры медальона в Fabric, которая состоит из трех слоев: бронзы, серебра и золота.

  • Бронзовый слой сохраняет необработанные данные по мере поступления из источников данных.
  • Уровень серебра применяет проверки качества данных и преобразования для подготовки данных к анализу.
  • Золотой слой предоставляет агрегированные и обогащенные данные для создания отчетов и визуализации.

Хотя некоторые источники данных находятся в локальной сети, другие находятся за брандмауэрами и требуют безопасного доступа, прошедших проверку подлинности. Существуют также некоторые источники данных, управляемые в Azure, такие как База данных SQL Azure и служба хранилища Azure. Необходимо подключиться к этим источникам данных Azure таким образом, чтобы данные не предоставлялись общедоступному Интернету.

Вы решили использовать Fabric, так как она может безопасно получать, хранить, обрабатывать и анализировать данные в облаке. Важно, что это делает это при соблюдении нормативных требований вашей отрасли и политик вашей организации.

Так как Fabric является программным обеспечением как услуга (SaaS), вам не нужно подготавливать отдельные ресурсы, такие как хранилище или вычислительные ресурсы. Все, что вам нужно, — это емкость Fabric.

Необходимо настроить требования к доступу к данным. В частности, необходимо убедиться, что только вы и ваши коллеги специалисты по обработке данных имеют доступ к данным в бронзовых и серебряных слоях озера. Эти уровни предназначены для выполнения очистки данных, проверки, преобразования и обогащения. Кроме того, необходимо ограничить доступ к данным на золотом слое. Только авторизованные пользователи, включая аналитиков данных и бизнес-пользователей, должны иметь доступ к золотому уровню. Для этого требуется доступ к данным для различных аналитических целей, таких как отчеты, машинное обучение и прогнозная аналитика. Доступ к данным должен быть дополнительно ограничен ролью и отделом пользователя.

Подключение к Fabric (защита от входящего трафика)

Сначала вы настроили входящий трафик, который связан с тем, как вы и другие пользователи войдите и имеют доступ к Fabric.

Так как Fabric развертывается в клиенте Microsoft Entra, проверка подлинности и авторизация обрабатываются Microsoft Entra. Вход с помощью учетной записи организации Microsoft Entra (рабочей или учебной учетной записи). Далее вы узнаете, как другие пользователи будут подключаться к Fabric.

Клиент Microsoft Entra — это граница безопасности удостоверений, которая находится под контролем ИТ-отдела. В рамках этой границы безопасности администраторы ИТ-администраторов выполняют администрирование объектов Microsoft Entra (например, учетных записей пользователей) и настройку параметров на уровне клиента. Как и любая служба SaaS, Fabric логически изолирует клиентов. Данные и ресурсы в клиенте никогда не могут быть доступны другим клиентам, если вы явно не авторизуете их для этого.

Вот что происходит при входе пользователя в Fabric.

На схеме показано высокоуровневое представление архитектуры безопасности Fabric. Элементы на схеме описаны в следующей таблице.

Элемент Description
Пользователь открывает браузер (или клиентское приложение) и входит на портал Fabric.
Пользователь немедленно перенаправляется на идентификатор Microsoft Entra и требуется для проверки подлинности. Проверка подлинности проверяет правильность входа в систему.
После успешной проверки подлинности веб-интерфейс получает запрос пользователя и передает содержимое внешнего интерфейса (HTML и CSS) из ближайшего расположения. Он также направляет запрос на платформу метаданных и серверную платформу емкости.
Платформа метаданных, которая находится в домашнем регионе клиента, хранит метаданные клиента, такие как рабочие области и элементы управления доступом. Эта платформа гарантирует, что пользователь может получить доступ к соответствующим рабочим областям и элементам Fabric.
На внутренней платформе емкости выполняются вычислительные операции и хранятся данные. Он расположен в регионе емкости. Когда рабочая область назначена емкости Fabric, все данные, находящиеся в рабочей области, включая озеро данных OneLake, хранятся и обрабатываются в регионе емкости.

Платформа метаданных и платформа емкости внутреннего сервера выполняются в защищенных виртуальных сетях. Эти сети предоставляют ряд безопасных конечных точек в Интернете, чтобы они могли получать запросы от пользователей и других служб. Помимо этих конечных точек службы защищены правилами безопасности сети, которые блокируют доступ из общедоступного Интернета.

При входе пользователей в Fabric можно применить другие уровни защиты. Таким образом, клиент будет доступен только для определенных пользователей , а также при выполнении других условий, таких как сетевое расположение и соответствие устройств. Этот уровень защиты называется входящей защитой.

В этом сценарии вы отвечаете за конфиденциальную информацию о пациенте в Fabric. Таким образом, в вашей организации требуется, чтобы все пользователи, обращающиеся к Fabric, должны выполнять многофакторную проверку подлинности (MFA), и что они должны находиться в корпоративной сети, просто защита удостоверения пользователя недостаточно.

Ваша организация также обеспечивает гибкость для пользователей, позволяя им работать в любом месте и использовать свои личные устройства. Так как Microsoft Intune поддерживает использование собственного устройства (BYOD), вы регистрируете утвержденные устройства пользователей в Intune.

Кроме того, необходимо убедиться, что эти устройства соответствуют политикам организации. В частности, эти политики требуют, чтобы устройства могли подключаться только при наличии последней установленной операционной системы и последних исправлений безопасности. Эти требования безопасности настроены с помощью условного доступа Microsoft Entra.

Условный доступ предлагает несколько способов защиты клиента. Вы можете:

В случае блокировки всего клиента Fabric можно использовать виртуальную сеть и заблокировать общедоступный доступ к Интернету. После этого доступ к Fabric разрешен только из этой безопасной виртуальной сети. Это требование настраивается путем включения частных ссылок на уровне клиента для Fabric. Это гарантирует разрешение всех конечных точек Fabric на частный IP-адрес в виртуальной сети, включая доступ ко всем отчетам Power BI. (Включение частных конечных точек влияет на многие элементы Fabric, поэтому необходимо тщательно ознакомиться с этой статьей , прежде чем включить их.)

Безопасный доступ к данным за пределами Структуры (исходящая защита)

Затем вы настроите исходящую защиту, которая связана с безопасным доступом к данным за брандмауэрами или частными конечными точками.

В вашей организации есть некоторые источники данных, расположенные в локальной сети. Так как эти источники данных находятся за брандмауэрами, Fabric требует безопасного доступа. Чтобы обеспечить безопасное подключение Fabric к локальному источнику данных, установите локальный шлюз данных.

Шлюз может использоваться потоками данных фабрики данных и конвейерами данных для приема, подготовки и преобразования локальных данных, а затем загружать его в OneLake с действием копирования. Фабрика данных поддерживает полный набор соединителей , которые позволяют подключаться к более чем 100 разным хранилищам данных.

Затем вы создаете потоки данных с помощью Power Query, что обеспечивает интуитивно понятный интерфейс с интерфейсом с низким кодом. Вы используете его для приема данных из источников данных и их преобразования с помощью любого из 300+ преобразований данных. Затем вы создаете и оркестрируете сложный процесс извлечения, преобразования и загрузки (ETL) с помощью конвейеров данных. Процессы ETL могут обновлять потоки данных и выполнять множество различных задач в масштабе, обрабатывая петабайты данных.

В этом сценарии у вас уже есть несколько процессов ETL. Во-первых, в Фабрика данных Azure (ADF) есть некоторые конвейеры. В настоящее время эти конвейеры используют локальные данные и загружают их в озеро данных в служба хранилища Azure с помощью локальной среды выполнения интеграции. Во-вторых, у вас есть платформа приема данных в Azure Databricks , написанная в Spark.

Теперь, когда вы используете Fabric, вы просто перенаправляете выходное назначение конвейеров ADF для использования соединителя Lakehouse. И для платформы приема в Azure Databricks вы используете API OneLake, поддерживающие драйвер Файловой системы блога Azure (ABFS), чтобы интегрировать OneLake с Azure Databricks. (Вы также можете использовать тот же метод для интеграции OneLake с Azure Synapse Analytics с помощью Apache Spark.)

У вас также есть некоторые источники данных, которые находятся в База данных SQL Azure. Необходимо подключиться к этим источникам данных с помощью частных конечных точек. В этом случае вы решили настроить шлюз данных виртуальной сети и использовать потоки данных для безопасного подключения к данным Azure и загрузки его в Fabric. При использовании шлюзов данных виртуальной сети вам не нужно подготавливать инфраструктуру и управлять ими (так как необходимо сделать для локального шлюза данных). Это связано с тем, что Fabric безопасно и динамически создает контейнеры в виртуальная сеть Azure.

Если вы разрабатываете или переносите платформу приема данных в Spark, вы можете подключиться к источникам данных в Azure безопасно и приватно из записных книжек Fabric и заданий с помощью управляемых частных конечных точек. Управляемые частные конечные точки можно создать в рабочих областях Fabric для подключения к источникам данных в Azure, которые блокировали общедоступный доступ к Интернету. Они поддерживают частные конечные точки, такие как База данных SQL Azure и служба хранилища Azure. Управляемые частные конечные точки подготавливаются и управляются в управляемой виртуальной сети , выделенной для рабочей области Fabric. В отличие от типичных виртуальная сеть Azure управляемые виртуальные сети и управляемые частные конечные точки не будут найдены в портал Azure. Это связано с тем, что они полностью управляются Fabric, и вы найдете их в параметрах рабочей области.

Так как у вас уже есть много данных, хранящихся в учетных записях Azure Data Lake Storage (ADLS) 2-го поколения, к ним теперь необходимо подключить только рабочие нагрузки Fabric, такие как Spark и Power BI. Кроме того, благодаря сочетаниям клавиш ADLS OneLake вы можете легко подключиться к существующим данным из любого интерфейса Fabric, например конвейеров интеграции данных, записных книжек для инженерии данных и отчетов Power BI.

Рабочие области Fabric с удостоверением рабочей области могут безопасно получить доступ к учетным записям хранения ADLS 2-го поколения, даже если вы отключили общедоступную сеть. Это возможно благодаря доступу к доверенной рабочей области. Она позволяет Fabric безопасно подключаться к учетным записям хранения с помощью магистральной сети Майкрософт. Это означает, что связь не использует общедоступный Интернет, что позволяет отключить доступ к учетной записи хранения общедоступной сети, но по-прежнему разрешить некоторым рабочим областям Fabric подключаться к ним.

Соответствие нормативным требованиям

Вы хотите использовать Fabric для безопасного приема, хранения, обработки и анализа данных в облаке, а также обеспечения соответствия нормативным требованиям вашей отрасли и политик вашей организации.

Fabric входит в состав служб Microsoft Azure Core Services, и оно регулируется условиями Microsoft Online Services и заявлением о конфиденциальности Microsoft Enterprise. Хотя сертификации обычно происходят после запуска продукта (общедоступная или общедоступная версия), корпорация Майкрософт интегрирует рекомендации по соответствию требованиям с самого начала и на протяжении всего жизненного цикла разработки. Этот упреждающий подход обеспечивает надежную основу для будущих сертификаций, даже если они следуют установленным циклам аудита. Проще говоря, мы ставим приоритеты в создании соответствия с самого начала, даже когда официальная сертификация происходит позже.

Структура соответствует многим отраслевым стандартам, таким как ISO 27001, 27017, 27018 и 27701. Fabric также соответствует ТРЕБОВАНИЯМ HIPAA , что крайне важно для конфиденциальности и безопасности данных здравоохранения. Вы можете проверить приложение A и B в предложениях соответствия Требованиям Microsoft Azure, чтобы получить подробные сведения о том, какие облачные службы находятся в области сертификации. Вы также можете получить доступ к документации по аудиту на портале управления безопасностью служб (STP).

Соответствие является общей ответственностью. Чтобы соответствовать законам и нормативным требованиям, поставщики облачных служб и их клиенты несут общую ответственность за обеспечение того, чтобы каждая из них выполняла свою часть. При рассмотрении и оценке общедоступных облачных служб важно понимать модель общей ответственности и задачи безопасности, которые обрабатывает поставщик облачных услуг и какие задачи вы обрабатываете.

Обработка данных

Так как вы работаете с конфиденциальной информацией о пациенте, необходимо убедиться, что все ваши данные достаточно защищены как в состоянии отдыха, так и во время передачи.

Шифрование при хранении обеспечивает защиту хранимых данных (неактивные данные). Атаки на неактивных данных включают попытки получить физический доступ к оборудованию, на котором хранятся данные, а затем компрометировать данные на этом оборудовании. Шифрование неактивных данных предназначено для предотвращения доступа злоумышленника к незашифрованным данным, гарантируя, что данные шифруются при использовании диска. Шифрование неактивных данных является обязательной мерой, необходимой для соблюдения некоторых отраслевых стандартов и правил, таких как Международная организация по стандартизации (ISO) и Закон о переносимости медицинского страхования и подотчетности (HIPAA).

Все хранилища данных Fabric шифруются неактивных с помощью ключей, управляемых Корпорацией Майкрософт, что обеспечивает защиту данных клиента, а также системных данных и метаданных. Данные никогда не сохраняются в постоянном хранилище в незашифрованном состоянии. С помощью ключей, управляемых Корпорацией Майкрософт, вы можете воспользоваться шифрованием неактивных данных без риска или стоимости пользовательского решения для управления ключами.

Данные также шифруются при передаче. Весь входящий трафик к конечным точкам Fabric из клиентских систем обеспечивает минимальный уровень безопасности транспорта (TLS) 1.2. Он также согласовывает TLS 1.3, когда это возможно. TLS обеспечивает надежную аутентификацию, конфиденциальность сообщений, целостность данных (включая обнаружение незаконного изменения, перехвата и подделки сообщений), взаимодействие, гибкость алгоритмов, простоту развертывания и использования.

Помимо шифрования, сетевой трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт, которая является одной из крупнейших магистральных сетей в мире.

Шифрование управляемых клиентом ключей (CMK) и Microsoft Fabric

Управляемые клиентом ключи (CMK) позволяют шифровать неактивных данных с помощью собственных ключей. По умолчанию Microsoft Fabric шифрует данные неактивных данных с помощью управляемых платформой ключей. В этой модели корпорация Майкрософт отвечает за все аспекты управления ключами и неактивных данных в OneLake шифруются с помощью ключей. С точки зрения соответствия требованиям клиентам может потребоваться использовать CMK для шифрования неактивных данных. В модели CMK клиент принимает полный контроль над ключом и использует ключи для шифрования неактивных данных.

На схеме показано высокоуровневое представление использования CMK с помощью сочетаний клавиш Fabric OneLake.

Если требуется использовать CMK для шифрования неактивных данных, рекомендуется использовать облачные службы хранилища (ADLS 2-го поколения, AWS S3, GCS) с включенным шифрованием CMK и доступом к данным из Microsoft Fabric с помощью сочетаний клавиш OneLake. В этом шаблоне данные продолжают находиться в облачной службе хранилища или во внешнем решении хранения, где шифрование неактивных данных с помощью CMK включено, и вы можете выполнять операции чтения на месте из Fabric, оставаясь совместимыми. После создания ярлыка в Структуре данные можно получить с помощью других интерфейсов Fabric.

Существуют некоторые рекомендации по использованию этого шаблона:

  • Используйте шаблон, рассмотренный здесь для данных, для которых требуется шифрование неактивных данных с помощью CMK. Данные, которые не имеют этого требования, могут быть зашифрованы неактивных с помощью ключей, управляемых платформой, и эти данные могут храниться изначально в Microsoft Fabric OneLake.
  • База данных Fabric Lakehouse и KQL — это две рабочие нагрузки в Microsoft Fabric, которые поддерживают создание ярлыков. В этом шаблоне, где данные продолжают находиться во внешней службе хранилища, где включен CMK, можно использовать сочетания клавиш в Lakehouses и базах данных KQL для переноса данных в Microsoft Fabric для анализа, но данные физически хранятся за пределами OneLake, где шифрование CMK включено.
  • Сочетание клавиш ADLS 2-го поколения поддерживает запись и использование этого ярлыка, вы также можете записывать данные обратно в службу хранилища, и они будут зашифрованы неактивных данных с помощью CMK. При использовании CMK с ADLS 2-го поколения примените рекомендации по Azure Key Vault (AKV) и служба хранилища Azure.
  • Если вы используете стороннее решение для хранения данных, совместимое с AWS S3 (Cloudflare, Qumolo Core с общедоступной конечной точкой, public MinIO и Dell ECS с общедоступной конечной точкой), и оно включает cmK, шаблон, описанный здесь в этом документе, можно расширить на эти сторонние решения для хранения. С помощью сочетания клавиш, совместимых с Amazon S3, можно перенести данные в Fabric с помощью сочетания клавиш из этих решений. Как и в облачных службах хранилища, можно хранить данные во внешнем хранилище с помощью шифрования CMK и выполнять операции чтения на месте.
  • AWS S3 поддерживает шифрование неактивных данных с помощью ключей, управляемых клиентом. Структура может выполнять операции чтения на месте в контейнерах S3 с помощью сочетания клавиш S3. Однако операции записи с помощью ярлыка AWS S3 не поддерживаются.
  • Облачное хранилище Google поддерживает шифрование данных с помощью ключей, управляемых клиентом. Структура может выполнять операции чтения на месте в GCS; Однако операции записи с помощью ярлыка для GCS не поддерживаются.
  • Включите аудит Microsoft Fabric для отслеживания действий.
  • В Microsoft Fabric интерфейс Power BI поддерживает управляемый клиентом ключ.
  • Отключите функцию кэширования ярлыков для сочетаний клавиш, совместимых с S3, GCS и S3. так как кэшированные данные сохраняются в OneLake.

Место расположения данных

Поскольку вы работаете с данными о пациентах, по соображениям соответствия вашей организации, данные никогда не должны покидать США географической границы. Основные операции вашей организации выполняются в Нью-йорке и головном офисе в Сиэтле. При настройке Power BI ваша организация выбрала регион "Восточная часть США" в качестве домашнего региона клиента. Для ваших операций вы создали емкость Fabric в регионе "Западная часть США", который ближе к источникам данных. Так как OneLake доступен по всему миру, вы обеспокоены тем, можете ли вы соответствовать политикам расположения данных вашей организации при использовании Fabric.

В Fabric вы узнаете, что вы можете создавать емкости с несколькими регионами, которые находятся в географических регионах (гео), отличных от домашнего региона клиента. Рабочие области Fabric назначаются этим емкостям. В этом случае вычислительные ресурсы и хранилище (включая OneLake и хранилище с учетом возможностей) для всех элементов в рабочей области находятся в нескольких географических регионах, а метаданные клиента остаются в домашнем регионе. Ваши данные будут храниться и обрабатываться только в этих двух географических регионах, что гарантирует соблюдение требований к месту расположения данных вашей организации.

Управление доступом

Вам необходимо убедиться, что только вы и ваши коллеги специалисты по обработке данных имеют полный доступ к данным в бронзовых и серебряных слоях озера. Эти уровни позволяют выполнять очистку данных, проверку, преобразование и обогащение. Необходимо ограничить доступ к данным в золотом слое только авторизованным пользователям, таким как аналитики и бизнес-пользователи, которые могут использовать данные для различных аналитических целей, таких как отчеты и аналитика.

Fabric предоставляет гибкую модель разрешений, которая позволяет управлять доступом к элементам и данным в рабочих областях. Рабочая область — это защищаемая логическая сущность для группировки элементов в Fabric. Роли рабочей области используются для управления доступом к элементам в рабочих областях. Ниже приведены четыре основные роли рабочей области:

  • Администратор: может просматривать, изменять, делиться и управлять всем содержимым в рабочей области, включая управление разрешениями.
  • Член: может просматривать, изменять и предоставлять общий доступ ко всему содержимому в рабочей области.
  • Участник: может просматривать и изменять все содержимое в рабочей области.
  • Средство просмотра. Может просматривать все содержимое в рабочей области, но не может изменить его.

В этом сценарии вы создадите три рабочие области, по одному для каждого слоя медальона (бронза, серебро и золото). Так как вы создали рабочую область, вы автоматически назначаете роль администратора .

Затем вы добавите группу безопасности в роль участника этих трех рабочих областей. Так как группа безопасности включает своих коллег-инженеров в качестве участников, они могут создавать и изменять элементы Fabric в этих рабочих областях, однако они не могут совместно использовать элементы с другими пользователями. Кроме того, они не могут предоставлять доступ другим пользователям.

В бронзовых и серебряных рабочих областях вы и другие инженеры создают элементы Fabric для приема данных, хранения данных и обработки данных. Элементы Структуры состоят из озера, конвейеров и записных книжек. В золотой рабочей области создается два озера, несколько конвейеров и записных книжек, а также семантическая модель Direct Lake, которая обеспечивает быструю производительность запросов данных, хранящихся в одном из озерных домов.

Затем внимательно рассмотрим, как аналитики данных и бизнес-пользователи могут получить доступ к данным, к которым они могут получить доступ. В частности, они могут получить доступ только к данным, соответствующим их роли и отделу.

Первый lakehouse содержит фактические данные и не применяет разрешения данных в конечной точке аналитики SQL. Второй lakehouse содержит ярлыки для первого lakehouse, и он применяет детализированные разрешения данных в конечной точке аналитики SQL. Семантическая модель подключается к первому лейкхаусу. Чтобы применить соответствующие разрешения на данные для пользователей (чтобы они могли получать доступ только к данным, соответствующим их роли и отделу), вы не предоставляете доступ к первому лейкхаусу пользователям. Вместо этого вы предоставляете общий доступ только к семантической модели Direct Lake и второму озеру, который обеспечивает разрешения данных в конечной точке аналитики SQL.

Вы настраиваете семантику для использования фиксированного удостоверения, а затем реализуете безопасность на уровне строк (RLS) в семантической модели, чтобы применить правила модели для управления доступом к данным, к которой пользователи могут получить доступ. Затем вы предоставляете общий доступ только к семантической модели аналитикам и бизнес-пользователям, так как они не должны получать доступ к другим элементам рабочей области, таким как конвейеры и записные книжки. Наконец, вы предоставляете разрешение на сборку для семантической модели, чтобы пользователи могли создавать отчеты Power BI. Таким образом, семантическая модель становится общей семантической моделью и источником для отчетов Power BI.

Аналитики данных должны получить доступ ко второму озеру в золотой рабочей области. Они подключаются к конечной точке аналитики SQL этого lakehouse для записи запросов SQL и выполнения анализа. Таким образом, вы предоставляете общий доступ к этим озерам и предоставляете доступ только к объектам, которым они нужны (например, таблицы, строки и столбцы с правилами маскирования) в конечной точке аналитики SQL Lakehouse с помощью модели безопасности SQL. Аналитики данных теперь могут получать доступ только к данным, соответствующим их роли и отделу, и они не могут получить доступ к другим элементам в рабочей области, таким как конвейеры и записные книжки.

Распространенные сценарии безопасности

В следующей таблице перечислены распространенные сценарии безопасности и средства, которые можно использовать для их выполнения.

Сценарий Сервис Направление
Я разработчик ETL, и я хочу загрузить большие объемы данных в Fabric в масштабе из нескольких исходных систем и таблиц. Исходные данные являются локальными (или другими облачными) и стоят за брандмауэрами и (или) источниками данных Azure с частными конечными точками. Используйте локальный шлюз данных с конвейерами данных (действие копирования). Исходящие
Я опытный пользователь , и я хочу загрузить данные в Fabric из исходных систем, к которым у меня есть доступ. Так как я не разработчик, мне нужно преобразовать данные с помощью интерфейса с низким кодом. Исходные данные являются локальными (или другими облачными) и стоят за брандмауэрами. Используйте локальный шлюз данных с dataflow 2-го поколения. Исходящие
Я опытный пользователь , и я хочу загрузить данные в Fabric из исходных систем, к которым у меня есть доступ. Исходные данные находится в Azure за частными конечными точками, и я не хочу устанавливать и поддерживать локальную инфраструктуру шлюза данных. Используйте шлюз данных виртуальной сети с потоком данных 2-го поколения. Исходящие
Я разработчик, который может писать код приема данных с помощью записных книжек Spark. Я хочу загрузить данные в Fabric из исходных систем, к которым у меня есть доступ. Исходные данные находится в Azure за частными конечными точками, и я не хочу устанавливать и поддерживать локальную инфраструктуру шлюза данных. Используйте записные книжки Fabric с частными конечными точками Azure. Исходящие
У меня есть много существующих конвейеров в Фабрика данных Azure (ADF) и конвейерах Synapse, которые подключаются к источникам данных и загружают данные в Azure. Теперь я хочу изменить эти конвейеры для загрузки данных в Fabric. Используйте соединитель Lakehouse в существующих конвейерах. Исходящие
У меня есть платформа приема данных, разработанная в Spark, которая безопасно подключается к источникам данных и загружает их в Azure. Я выполняю его в Azure Databricks и/или Synapse Spark. Я хочу продолжить использование Azure Databricks и(или) Synapse Spark для загрузки данных в Fabric. Использование OneLake и API Azure Data Lake Storage (ADLS) 2-го поколения (драйвер файловой системы BLOB-объектов Azure) Исходящие
Я хочу убедиться, что конечные точки Fabric защищены от общедоступного Интернета. В качестве службы SaaS серверная часть Fabric уже защищена от общедоступного Интернета. Для получения дополнительной защиты используйте политики условного доступа Microsoft Entra для Fabric и (или) включите частные ссылки на уровне клиента для Fabric и блокируйте общедоступный доступ к Интернету. Входящий трафик
Я хочу убедиться, что Fabric можно получить доступ только из корпоративной сети и (или) с соответствующих устройств. Используйте политики условного доступа Microsoft Entra для Fabric. Входящий трафик
Я хочу убедиться, что любой пользователь, обращаюющийся к Fabric, должен выполнять многофакторную проверку подлинности. Используйте политики условного доступа Microsoft Entra для Fabric. Входящий трафик
Я хочу заблокировать весь клиент Fabric из общедоступного Интернета и разрешить доступ только из моих виртуальных сетей. Включите частные ссылки на уровне клиента для Fabric и блокируйте общедоступный доступ к Интернету. Входящий трафик

Связанный контент

Дополнительные сведения о безопасности Fabric см. в следующих ресурсах.