Dela via


Säkerhetsgrunder för Microsoft Fabric

Den här artikeln beskriver ett helhetsperspektiv på Microsoft Fabric-säkerhetsarkitekturen genom att beskriva hur de viktigaste säkerhetsflödena i systemet fungerar. Den beskriver också hur användare autentiserar med Fabric, hur dataanslutningar upprättas och hur Infrastruktur lagrar och flyttar data via tjänsten.

Artikeln riktar sig främst till infrastrukturadministratörer som ansvarar för att övervaka infrastrukturresurser i organisationen. Det är också relevant för företagssäkerhetsintressenter, inklusive säkerhetsadministratörer, nätverksadministratörer, Azure-administratörer, arbetsyteadministratörer och databasadministratörer.

Infrastrukturplattform

Microsoft Fabric är en allt-i-ett-analyslösning för företag som omfattar allt från dataflytt till datavetenskap, realtidsanalys och business intelligence (BI). Fabric-plattformen består av en serie tjänster och infrastrukturkomponenter som stöder vanliga funktioner för alla Infrastruktur-upplevelser. Tillsammans erbjuder de en omfattande uppsättning analysupplevelser som är utformade för att fungera sömlöst tillsammans. Här finns bland annat Lakehouse, Data Factory, Fabric Dataingenjör ing, Fabric Data Warehouse, Power BI med flera.

Med Fabric behöver du inte pussla ihop olika tjänster från flera leverantörer. I stället kan du dra nytta av en mycket integrerad, heltäckande och lätthanterad produkt som är utformad för att förenkla dina analysbehov. Infrastrukturresurserna utformades redan från början för att skydda känsliga tillgångar.

Fabric-plattformen bygger på en grund av saaS (software as a service), som ger tillförlitlighet, enkelhet och skalbarhet. Den bygger på Azure, som är Microsofts plattform för offentlig molnbaserad databehandling. Traditionellt har många dataprodukter varit plattform som en tjänst (PaaS), vilket kräver att en administratör för tjänsten konfigurerar säkerhet, efterlevnad och styrning för varje tjänst. Eftersom Fabric är en SaaS-tjänst är många av dessa funktioner inbyggda i SaaS-plattformen och kräver ingen konfiguration eller minimal konfiguration.

Arkitekturdiagram

Arkitekturdiagrammet nedan visar en högnivårepresentation av infrastrukturresursens säkerhetsarkitektur.

Diagrammet visar en högnivårepresentation av infrastrukturresursens säkerhetsarkitektur.

Arkitekturdiagrammet visar följande begrepp.

  1. En användare använder en webbläsare eller ett klientprogram, till exempel Power BI Desktop, för att ansluta till Fabric-tjänsten.

  2. Autentisering hanteras av Microsoft Entra-ID, tidigare kallat Azure Active Directory, som är den molnbaserade identitets- och åtkomsthanteringstjänsten som autentiserar användaren eller tjänstens huvudnamn och hanterar åtkomsten till Infrastrukturresurser.

  3. Webbklientdelen tar emot användarförfrågningar och underlättar inloggning. Den dirigerar även begäranden och hanterar klientdelsinnehåll till användaren.

  4. Metadataplattformen lagrar klientmetadata, som kan innehålla kunddata. Infrastrukturtjänster frågar den här plattformen på begäran för att hämta auktoriseringsinformation och auktorisera och validera användarbegäranden. Den finns i klientorganisationens hemregion.

  5. Backend-kapacitetsplattformen ansvarar för beräkningsåtgärder och lagring av kunddata, och den finns i kapacitetsregionen. Den utnyttjar Azures kärntjänster i den regionen efter behov för specifika Infrastrukturupplevelser.

Infrastrukturtjänster för infrastruktur i infrastrukturresurser för infrastrukturresurser är flera. Det finns logisk isolering mellan klientorganisationer. Dessa tjänster bearbetar inte komplexa användarindata och skrivs alla i hanterad kod. Plattformstjänster kör aldrig någon användarskriven kod.

Metadataplattformen och backend-kapacitetsplattformen körs i skyddade virtuella nätverk. Dessa nätverk exponerar en rad säkra slutpunkter på Internet så att de kan ta emot begäranden från kunder och andra tjänster. Förutom dessa slutpunkter skyddas tjänsterna av nätverkssäkerhetsregler som blockerar åtkomst från det offentliga Internet. Kommunikationen inom virtuella nätverk begränsas också baserat på behörigheten för varje intern tjänst.

Programlagret säkerställer att klientorganisationer endast kan komma åt data från sin egen klientorganisation.

Autentisering

Fabric förlitar sig på Microsoft Entra-ID för att autentisera användare (eller tjänstens huvudnamn). När de autentiseras får användarna åtkomsttoken från Microsoft Entra-ID. Fabric använder dessa token för att utföra åtgärder i användarens kontext.

En viktig funktion i Microsoft Entra-ID är villkorlig åtkomst. Villkorsstyrd åtkomst säkerställer att klientorganisationer är säkra genom att framtvinga multifaktorautentisering, så att endast Microsoft Intune-registrerade enheter får åtkomst till specifika tjänster. Villkorsstyrd åtkomst begränsar även användarplatser och IP-intervall.

Auktorisering

Alla infrastrukturresurser lagras centralt av metadataplattformen. Infrastrukturtjänster frågar metadataplattformen på begäran för att hämta auktoriseringsinformation och auktorisera och validera användarbegäranden.

Av prestandaskäl kapslar Fabric ibland in auktoriseringsinformation i signerade token. Signerade token utfärdas endast av backend-kapacitetsplattformen och innehåller åtkomsttoken, auktoriseringsinformation och andra metadata.

Dataresidens

I Infrastruktur tilldelas en klientorganisation till ett plattformskluster för startmetadata, som finns i en enda region som uppfyller kraven på datahemvist i regionens geografiska område. Klientmetadata, som kan innehålla kunddata, lagras i det här klustret.

Kunder kan styra var deras arbetsytor finns. De kan välja att hitta sina arbetsytor i samma geografiska område som sina metadataplattformskluster, antingen explicit genom att tilldela sina arbetsytor till kapaciteter i den regionen eller implicit med hjälp av fabric-utvärderings-, Power BI Pro- eller Power BI Premium-licensläge per användare. I det senare fallet lagras och bearbetas alla kunddata i det här geografiska området. Mer information finns i Begrepp och licenser för Microsoft Fabric.

Kunder kan också skapa Multi-Geo-kapaciteter som finns i andra geografiska områden (geos) än deras hemregion. I det här fallet finns beräkning och lagring (inklusive OneLake och upplevelsespecifik lagring) i regionen multi-geo, men klientmetadata finns kvar i hemregionen. Kunddata lagras och bearbetas endast i dessa två geografiska områden. Mer information finns i Konfigurera Multi-Geo-stöd för Infrastrukturresurser.

Datahantering

Det här avsnittet innehåller en översikt över hur datahantering fungerar i Infrastrukturresurser. Den beskriver lagring, bearbetning och förflyttning av kunddata.

Vilande data

Alla Infrastrukturdatalager krypteras i vila med hjälp av Microsoft-hanterade nycklar. Infrastrukturdata innehåller kunddata samt systemdata och metadata.

Data kan bearbetas i minnet i ett okrypterat tillstånd, men de sparas aldrig till permanent lagring när de är i ett okrypterat tillstånd.

Data under överföring

Data under överföring mellan Microsoft-tjänster krypteras alltid med minst TLS 1.2. Fabric förhandlar till TLS 1.3 när det är möjligt. Trafik mellan Microsoft-tjänster dirigerar alltid över Microsofts globala nätverk.

Inkommande infrastrukturkommunikation framtvingar även TLS 1.2 och förhandlar till TLS 1.3 när det är möjligt. Utgående infrastrukturkommunikation till kundägd infrastruktur föredrar säkra protokoll men kan återgå till äldre, osäkra protokoll (inklusive TLS 1.0) när nyare protokoll inte stöds.

Telemetri

Telemetri används för att upprätthålla prestanda och tillförlitlighet för Fabric-plattformen. Telemetrilagret för infrastrukturplattformen är utformat för att vara kompatibelt med data- och sekretessregler för kunder i alla regioner där Infrastrukturresurser är tillgängligt, inklusive EU. Mer information finns i EU Data Boundary Services.

OneLake

OneLake är en enda, enhetlig, logisk datasjö för hela organisationen och etableras automatiskt för varje Fabric-klientorganisation. Den bygger på Azure och kan lagra alla typer av filer, strukturerade eller ostrukturerade. Dessutom lagrar alla Fabric-objekt, till exempel lager och sjöhus, automatiskt sina data i OneLake.

OneLake stöder samma API:er och SDK:er för Azure Data Lake Storage Gen2 (ADLS Gen2), därför är det kompatibelt med befintliga ADLS Gen2-program, inklusive Azure Databricks.

Mer information finns i Infrastrukturresurser och OneLake-säkerhet.

Säkerhet på arbetsyta

Arbetsytor representerar den primära säkerhetsgränsen för data som lagras i OneLake. Varje arbetsyta representerar en enda domän eller ett projektområde där team kan samarbeta om data. Du hanterar säkerheten på arbetsytan genom att tilldela användare till arbetsyteroller.

Mer information finns i Infrastrukturresurser och OneLake-säkerhet (Säkerhet på arbetsyta).

Objektsäkerhet

På en arbetsyta kan du tilldela behörigheter direkt till Infrastrukturobjekt, till exempel lager och sjöhus. Objektsäkerhet ger flexibiliteten att bevilja åtkomst till ett enskilt infrastrukturobjekt utan att ge åtkomst till hela arbetsytan. Användare kan konfigurera behörigheter per objekt antingen genom att dela ett objekt eller genom att hantera behörigheterna för ett objekt.

Efterlevnadsresurser

Fabric-tjänsten styrs av Microsoft Online Services-villkoren och Sekretesspolicy för Microsoft Enterprise.

Information om platsen för databehandling finns i Villkoren för databearbetning i Villkoren för Microsoft Online-tjänster och dataskyddstillägget.

För efterlevnadsinformation är Microsoft Trust Center den primära resursen för Infrastrukturresurser. Mer information om efterlevnad finns i Microsofts efterlevnadserbjudanden.

Fabric-tjänsten följer SDL (Security Development Lifecycle), som består av en uppsättning strikta säkerhetsrutiner som stöder säkerhetskrav och efterlevnadskrav. SDL hjälper utvecklare att skapa säkrare programvara genom att minska antalet och allvarlighetsgraden för sårbarheter i programvara, samtidigt som utvecklingskostnaden minskar. Mer information finns i Livscykelmetoder för Microsoft Security Development.

Mer information om Infrastruktursäkerhet finns i följande resurser.