แชร์ผ่าน

ปกป้องปริมาณการใช้งานขาเข้า

  • บทความ

การรับส่งข้อมูลขาเข้ากําลังเข้ามาใน Fabric จากอินเทอร์เน็ต บทความนี้อธิบายความแตกต่างระหว่างสองวิธีในการป้องกันการรับส่งข้อมูลขาเข้าใน Microsoft Fabric ลิงก์ ส่วนตัวและ การเข้าถึงแบบมีเงื่อนไข Entra ใช้บทความนี้เพื่อตัดสินใจว่าวิธีใดที่ดีที่สุดสําหรับองค์กรของคุณ

  • การเชื่อมโยง ส่วนตัว (ตัวเลือกที่ 1, Customer Vnet) - Fabric ใช้ที่อยู่ IP ส่วนตัวจากเครือข่ายเสมือนของคุณ จุดสิ้นสุดช่วยให้ผู้ใช้ในเครือข่ายของคุณสื่อสารกับ Fabric ผ่านที่อยู่ IP ส่วนตัวโดยใช้ลิงก์ส่วนตัว

  • การเข้าถึง แบบมีเงื่อนไข Entra - (ตัวเลือก 2, ผู้ใช้) - เมื่อผู้ใช้ตรวจสอบสิทธิ์การเข้าถึงโดยยึดตามชุดนโยบายที่อาจรวมถึงที่อยู่ IP ตําแหน่ง และอุปกรณ์ที่ได้รับการจัดการ

ไดอะแกรมที่แสดงวิธีการรับรองความถูกต้องสองวิธีสําหรับการรับส่งข้อมูลขาเข้าลงใน Fabric, Vnets และ Microsoft Entra ID

เมื่อปริมาณการใช้งานเข้า Fabric จะได้รับการรับรองโดย Microsoft Entra ID ซึ่งเป็นวิธีการรับรองความถูกต้องเดียวกับที่ใช้โดย Microsoft 365, OneDrive และ Dynamics 365 การรับรองความถูกต้องของ Microsoft Entra ID ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับแอปพลิเคชันระบบคลาวด์ได้อย่างปลอดภัยจากอุปกรณ์ใด ๆ และเครือข่ายใด ๆ ไม่ว่าพวกเขาจะอยู่ที่บ้าน ระยะไกล หรือในสํานักงานขององค์กรของพวกเขา

แพลตฟอร์มแบ็กเอนด์ Fabric ได้รับการปกป้องโดยเครือข่ายเสมือนและไม่สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ตสาธารณะนอกเหนือจากผ่านจุดสิ้นสุดที่ปลอดภัย เพื่อให้เข้าใจว่าปริมาณการใช้งานได้รับการปกป้องใน Fabric อย่างไร ให้ทบทวนแผนภาพสถาปัตยกรรมของ Fabric

ตามค่าเริ่มต้น Fabric จะสื่อสารระหว่าง ประสบการณ์ การใช้งานโดยใช้เครือข่ายแกนกลางของ Microsoft ภายใน เมื่อรายงาน Power BI โหลดข้อมูลจาก OneLake ข้อมูลจะผ่านเครือข่าย Microsoft ภายใน การกําหนดค่านี้จะแตกต่างจากการตั้งค่าหลายแพลตฟอร์มเป็นบริการบริการ (PaaS) เพื่อเชื่อมต่อกันผ่านเครือข่ายส่วนตัว การสื่อสารขาเข้าระหว่างไคลเอ็นต์ เช่น เบราว์เซอร์ของคุณ หรือ SQL Server Management Studio (SSMS) และ Fabric ใช้โพรโทคอล TLS 1.2 และเจรจาต่อรองกับ TLS 1.3 เมื่อเป็นไปได้

การตั้งค่าการรักษาความปลอดภัยเริ่มต้นของ Fabric ประกอบด้วย:

  • Microsoft Entra ID ซึ่งใช้ในการรับรองความถูกต้องของทุกคําขอ

  • เมื่อการรับรองความถูกต้องสําเร็จ คําขอจะถูกส่งไปยังบริการ Backend ที่เหมาะสมผ่านจุดสิ้นสุดที่จัดการโดย Microsoft ที่ปลอดภัย

  • ปริมาณการใช้งานภายในระหว่างประสบการณ์การใช้งานใน Fabric ถูกส่งผ่านแกนกลางของ Microsoft

  • การรับส่งข้อมูลระหว่างไคลเอ็นต์และ Fabric ถูกเข้ารหัสลับโดยใช้โพรโทคอล Transport Layer Security (TLS) 1.2 เป็นอย่างน้อย

การเข้าถึงแบบมีเงื่อนไข Entra

ทุกการโต้ตอบกับ Fabric จะรับรองความถูกต้องกับ Microsoft Entra ID Microsoft Entra ID จะขึ้นอยู่กับ รูปแบบการรักษาความปลอดภัย Zero Trust ซึ่งสันนิษฐานว่าคุณไม่ได้รับการป้องกันอย่างสมบูรณ์ภายในขอบเขตเครือข่ายขององค์กรของคุณ แทนที่จะดูที่เครือข่ายของคุณเป็นขอบเขตความปลอดภัย Zero Trust จะดูข้อมูลประจําตัวเป็นขอบเขตหลักสําหรับการรักษาความปลอดภัย

เพื่อกําหนดการเข้าถึงในช่วงเวลาของการรับรองความถูกต้อง คุณสามารถกําหนดและบังคับใช้ นโยบาย การเข้าถึงตามเงื่อนไขโดยยึดตามข้อมูลประจําตัวของผู้ใช้ ของคุณ บริบทอุปกรณ์ ตําแหน่ง เครือข่าย และความอ่อนไหวของแอปพลิเคชัน ตัวอย่างเช่น คุณสามารถจําเป็นต้องมีการรับรองความถูกต้องแบบหลายปัจจัย การปฏิบัติตามข้อกําหนดของอุปกรณ์ หรือแอปที่ได้รับการอนุมัติสําหรับการเข้าถึงข้อมูลและทรัพยากรของคุณใน Fabric คุณยังสามารถบล็อกหรือจํากัดการเข้าถึงจากตําแหน่งที่ตั้ง อุปกรณ์ หรือเครือข่ายที่มีความเสี่ยงได้

นโยบายการเข้าถึงตามเงื่อนไขช่วยให้คุณปกป้องข้อมูลและแอปพลิเคชันของคุณโดยไม่ลดประสิทธิภาพและประสบการณ์ของผู้ใช้ นี่คือตัวอย่างบางส่วนของข้อจํากัดการเข้าถึงที่คุณสามารถบังคับใช้โดยใช้การเข้าถึงแบบมีเงื่อนไข

  • กําหนดรายการของ IP สําหรับการเชื่อมต่อขาเข้าไปยัง Fabric

  • ใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA)

  • จํากัดปริมาณการใช้งานตามพารามิเตอร์ เช่น ประเทศต้นทางหรือประเภทอุปกรณ์

Fabric ไม่รองรับวิธีการรับรองความถูกต้องอื่น ๆ เช่น คีย์บัญชีหรือการรับรองความถูกต้อง SQL ซึ่งขึ้นอยู่กับชื่อผู้ใช้และรหัสผ่าน

กําหนดค่าการเข้าถึงแบบมีเงื่อนไข

ใน การกําหนดค่าการเข้าถึงตามเงื่อนไขใน Fabric คุณจําเป็นต้องเลือกบริการ Azure ที่เกี่ยวข้องกับ Fabric หลายรายการ เช่น Power BI, Azure Data Explorer, ฐานข้อมูล Azure SQL และที่เก็บข้อมูล Azure

หมายเหตุ

การเข้าถึงตามเงื่อนไขถือว่ากว้างเกินไปสําหรับลูกค้าบางรายเนื่องจากนโยบายใด ๆ จะถูกนําไปใช้กับ Fabric และบริการ Azure ที่เกี่ยวข้อง

สิทธิ์การใช้งาน

การเข้าถึงแบบมีเงื่อนไขจําเป็นต้องมีสิทธิ์การใช้งาน Microsoft Entra ID P1 บ่อยครั้งที่สิทธิ์การใช้งานเหล่านี้พร้อมใช้งานแล้วในองค์กรของคุณเนื่องจากถูกแชร์กับผลิตภัณฑ์อื่น ๆ ของ Microsoft เช่น Microsoft 365 หากต้องการค้นหาสิทธิ์การใช้งานที่เหมาะสมสําหรับข้อกําหนดของคุณ โปรดดู ข้อกําหนดสิทธิ์การใช้งาน

การเข้าถึงที่เชื่อถือได้

Fabric ไม่จําเป็นต้องอยู่ในเครือข่ายส่วนตัวของคุณแม้ว่าคุณจะมีข้อมูลของคุณจัดเก็บไว้ภายใน ด้วยบริการ PaaS เป็นเรื่องปกติที่จะใส่การคํานวณในเครือข่ายส่วนตัวเดียวกันกับบัญชีเก็บข้อมูล อย่างไรก็ตามด้วย Fabric สิ่งนี้ไม่จําเป็น เพื่อเปิดใช้งานการเข้าถึงที่เชื่อถือได้ลงใน Fabric คุณสามารถใช้คุณลักษณะต่าง ๆ เช่น เกตเวย์ข้อมูลภายในองค์กร การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ และจุดสิ้นสุดส่วนตัวที่มีการจัดการ สําหรับข้อมูลเพิ่มเติม ดูความปลอดภัยใน Microsoft Fabric

ด้วยจุดสิ้นสุดส่วนตัว บริการของคุณจะได้รับการกําหนดที่อยู่ IP ส่วนตัวจากเครือข่ายเสมือนของคุณ จุดสิ้นสุดช่วยให้แหล่งข้อมูลอื่น ๆ ในเครือข่ายสื่อสารกับบริการผ่านที่อยู่ IP ส่วนตัว

การใช้ลิงก์ส่วนตัว จะเป็นช่องทางจากบริการลงในหนึ่งในเครือข่ายย่อยของคุณเพื่อสร้างช่องส่วนตัว การสื่อสารจากอุปกรณ์ภายนอกเดินทางจากที่อยู่ IP ของตนไปยังจุดสิ้นสุดส่วนตัวในเครือข่ายย่อยนั้นผ่านอุโมงค์และลงในบริการ

หลังจากใช้ลิงก์ส่วนตัวแล้ว Fabric จะไม่เข้าถึงผ่านอินเทอร์เน็ตสาธารณะอีกต่อไป หากต้องการเข้าถึง Fabric ผู้ใช้ทั้งหมดต้องเชื่อมต่อผ่านเครือข่ายส่วนตัว เครือข่ายส่วนตัวจําเป็นสําหรับการสื่อสารทั้งหมดกับ Fabric รวมถึงการดูรายงาน Power BI ในเบราว์เซอร์ และใช้ SQL Server Management Studio (SSMS) เพื่อเชื่อมต่อกับสตริงการเชื่อมต่อ SQL เช่น<guid_unique_your_item>.datawarehouse.fabric.microsoft.com

เครือข่ายภายในองค์กร

หากคุณกําลังใช้เครือข่ายภายในองค์กร คุณสามารถขยายเครือข่ายเสมือน Azure (VNet) โดยใช้วงจร ExpressRoute หรือ VPN แบบไซต์ต่อไซต์เพื่อเข้าถึง Fabric โดยใช้การเชื่อมต่อส่วนตัว

แบนด์วิธ

ด้วยการเชื่อมโยงส่วนตัว การจราจรไปยัง Fabric ทั้งหมดจะเดินทางผ่านจุดสิ้นสุดส่วนตัวทําให้เกิดปัญหาแบนด์วิดท์ที่อาจเกิดขึ้น ผู้ใช้จะไม่สามารถโหลดทรัพยากรที่เกี่ยวข้องกับข้อมูลที่ไม่ใช่ข้อมูลแบบกระจายส่วนกลางเช่น รูปภาพ.css และไฟล์.html ที่ใช้โดย Fabric จากภูมิภาคของพวกเขา ทรัพยากรเหล่านี้ถูกโหลดจากตําแหน่งที่ตั้งของจุดสิ้นสุดส่วนตัว ตัวอย่างเช่น สําหรับผู้ใช้ออสเตรเลียที่มีจุดสิ้นสุดส่วนตัวของสหรัฐอเมริกา การจราจรไปยังสหรัฐอเมริกาก่อน ซึ่งเพิ่มเวลาในการโหลดและอาจลดประสิทธิภาพการทํางาน

ต้นทุน

ค่าใช้จ่าย ของลิงก์ ส่วนตัวและการเพิ่มขึ้นของ แบนด์วิดธ์ ExpressRoute เพื่ออนุญาตการเชื่อมต่อส่วนตัวจากเครือข่ายของคุณอาจเพิ่มค่าใช้จ่ายให้กับองค์กรของคุณ

ข้อควรพิจารณาและข้อจำกัด

ด้วยลิงก์ส่วนตัวคุณกําลังปิด Fabric ไปยังอินเทอร์เน็ตสาธารณะ ด้วยเหตุนี้ จึงมีข้อควรพิจารณาและข้อจํากัดที่คุณต้องคํานึงถึงมากมาย

เนื้อหาที่เกี่ยวข้อง