สถานการณ์การรักษาความปลอดภัยแบบ end-to-end ของ Microsoft Fabric
ความปลอดภัยคือประเด็นสําคัญของโซลูชันการวิเคราะห์ข้อมูลโดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับข้อมูลที่สําคัญหรือเป็นความลับ ด้วยเหตุนี้ Microsoft Fabric จึงมีชุดฟีเจอร์การรักษาความปลอดภัยที่ครอบคลุมที่ช่วยให้คุณสามารถปกป้องข้อมูลของคุณที่พักอยู่และในระหว่างการขนส่ง รวมถึงควบคุมการเข้าถึงและสิทธิ์สําหรับผู้ใช้และแอปพลิเคชันของคุณ
ในบทความนี้ คุณจะได้เรียนรู้เกี่ยวกับแนวคิดและคุณลักษณะด้านความปลอดภัยของ Fabric ที่สามารถช่วยให้คุณสร้างโซลูชันการวิเคราะห์ของคุณเองได้อย่างมั่นใจด้วย Fabric
พื้นหลัง
บทความนี้แสดงสถานการณ์สมมติที่คุณเป็นวิศวกรข้อมูลที่ทํางานให้กับองค์กรด้านการดูแลสุขภาพในสหรัฐอเมริกา องค์กรรวบรวมและวิเคราะห์ข้อมูลผู้ป่วยที่มาจากระบบต่าง ๆ รวมถึงบันทึกสุขภาพอิเล็กทรอนิกส์ ผลแล็บ การเรียกร้องค่าประกัน และอุปกรณ์สวมใส่ได้
คุณวางแผนที่จะสร้างเลคเฮ้าส์โดยใช้ สถาปัตยกรรม เหรียญใน Fabric ซึ่งประกอบด้วยสามชั้น: ทองแดง เงิน และทอง
- ชั้นทองแดงจัดเก็บข้อมูลดิบเมื่อมาถึงจากแหล่งข้อมูล
- เล เยอร์ เงินใช้การตรวจสอบคุณภาพข้อมูลและการแปลงข้อมูลเพื่อเตรียมข้อมูลสําหรับการวิเคราะห์
- ชั้นทองจะให้ข้อมูลรวมและอุดมไปด้วยสําหรับการรายงานและการแสดงภาพ
ในขณะที่แหล่งข้อมูลบางแหล่งจะอยู่บนเครือข่ายภายในองค์กรของคุณ แต่แหล่งข้อมูลอื่นอยู่เบื้องหลังไฟร์วอลล์ และจําเป็นต้องมีความปลอดภัย การรับรองความถูกต้อง นอกจากนี้ยังมีบางแหล่งข้อมูลที่มีการจัดการใน Azure เช่นฐานข้อมูล SQL Azure และ Azure Storage คุณจําเป็นต้องเชื่อมต่อกับแหล่งข้อมูล Azure เหล่านี้ในลักษณะที่ไม่เปิดเผยข้อมูลไปยังอินเทอร์เน็ตสาธารณะ
คุณได้ตัดสินใจที่จะใช้ Fabric เนื่องจากสามารถนําเข้า จัดเก็บ ประมวลผล และวิเคราะห์ข้อมูลของคุณในระบบคลาวด์ได้อย่างปลอดภัย ที่สําคัญคือในขณะที่ ปฏิบัติตาม กฎระเบียบของอุตสาหกรรมและนโยบายขององค์กรของคุณ
เนื่องจาก Fabric เป็นซอฟต์แวร์ที่เป็นบริการ (SaaS) คุณไม่จําเป็นต้องจัดเตรียมทรัพยากรส่วนบุคคล เช่น ที่เก็บข้อมูลหรือคํานวณทรัพยากร สิ่งที่คุณต้องมีคือ ความจุ Fabric
คุณจําเป็นต้องตั้งค่าข้อกําหนดการเข้าถึงข้อมูล โดยเฉพาะอย่างยิ่ง คุณจําเป็นต้องมีเพียงคุณและเพื่อนวิศวกรข้อมูลเท่านั้นที่สามารถเข้าถึงข้อมูลในชั้นทองแดงและสีเงินของเลคเฮาส์ได้ เลเยอร์เหล่านี้คือที่ที่คุณวางแผนที่จะดําเนินการทําความสะอาดข้อมูล การตรวจสอบความถูกต้อง การแปลง และการเสริมสร้างข้อมูล นอกจากนี้คุณยังต้องจํากัดการเข้าถึงข้อมูลในเลเยอร์ทอง เฉพาะผู้ใช้ที่ได้รับอนุญาตซึ่งรวมถึงนักวิเคราะห์ข้อมูลและผู้ใช้ทางธุรกิจเท่านั้นที่ควรมีสิทธิ์เข้าถึงเลเยอร์ทองคํา พวกเขาจําเป็นต้องมีการเข้าถึงข้อมูลเพื่อใช้ข้อมูลเพื่อวัตถุประสงค์ในการวิเคราะห์ต่าง ๆ เช่น การรายงาน การเรียนรู้ของเครื่อง และการวิเคราะห์เชิงทํานาย การเข้าถึงข้อมูลจําเป็นต้องได้รับการจํากัดเพิ่มเติมโดยบทบาทและแผนกของผู้ใช้
เชื่อมต่อกับ Fabric (การป้องกันขาเข้า)
ก่อนอื่น คุณตั้งค่า การป้องกันขาเข้า ซึ่งเกี่ยวข้องกับวิธีที่คุณและผู้ใช้รายอื่นลงชื่อเข้าใช้ และสามารถเข้าถึง Fabric ได้
เนื่องจาก Fabric ถูก ปรับใช้กับผู้เช่า Microsoft Entra การรับรองความถูกต้องและการอนุญาตจะได้รับการจัดการโดย Microsoft Entra คุณลงชื่อเข้าใช้ด้วยบัญชีองค์กร Microsoft Entra (บัญชีที่ทํางานหรือโรงเรียน) ถัดไป คุณพิจารณาว่าผู้ใช้รายอื่นจะเชื่อมต่อกับ Fabric อย่างไร
ผู้เช่า Microsoft Entra เป็น ขอบเขต ความปลอดภัยของข้อมูลประจําตัวที่อยู่ภายใต้การควบคุมของแผนก IT ของคุณ ภายในขอบเขตความปลอดภัยนี้ การจัดการวัตถุ Microsoft Entra (เช่นบัญชีผู้ใช้) และการกําหนดค่าของการตั้งค่าทั่วทั้งผู้เช่าจะดําเนินการโดยผู้ดูแลระบบ IT ของคุณ เช่นเดียวกับบริการ SaaS ใด ๆ Fabric จะแยกผู้เช่าตามตรรกะ ผู้เช่ารายอื่นไม่สามารถเข้าถึงข้อมูลและแหล่งข้อมูลในผู้เช่าของคุณ เว้นแต่ว่าคุณจะอนุญาตให้พวกเขาทําเช่นนั้นได้อย่างชัดเจน
นี่คือสิ่งที่เกิดขึ้นเมื่อผู้ใช้ลงชื่อเข้าใช้ Fabric
| สินค้า | คำอธิบาย: |
|---|---|
|
ผู้ใช้เปิดเบราว์เซอร์ (หรือแอปพลิเคชันไคลเอ็นต์) และลงชื่อเข้าใช้พอร์ทัล Fabric |
|
ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยัง Microsoft Entra ID ทันทีและจําเป็นต้องรับรองความถูกต้อง การรับรองความถูกต้องตรวจสอบว่าเป็นบุคคลที่ถูกต้องที่ลงชื่อเข้าใช้ |
|
หลังจากการรับรองความถูกต้องสําเร็จ front end ของเว็บจะได้รับคําขอของผู้ใช้และส่งมอบเนื้อหาส่วนหน้า (HTML และ CSS) จากตําแหน่งที่ตั้งที่ใกล้ที่สุด นอกจากนี้ยังกําหนดเส้นทางคําขอไปยังแพลตฟอร์มเมตาดาต้าและแพลตฟอร์มความจุ Backend |
|
แพลตฟอร์มเมตาดาต้าซึ่งอยู่ในภูมิภาคหลักของผู้เช่าของคุณ จัดเก็บเมตาดาต้าของผู้เช่าของคุณ เช่น พื้นที่ทํางานและตัวควบคุมการเข้าถึง แพลตฟอร์มนี้ช่วยให้มั่นใจได้ว่าผู้ใช้ได้รับอนุญาตให้เข้าถึงพื้นที่ทํางานที่เกี่ยวข้องและรายการ Fabric |
|
แพลตฟอร์มความจุ Back-end จะดําเนินการคํานวณและจัดเก็บข้อมูลของคุณ ซึ่งตั้งอยู่ใน ภูมิภาคความจุ เมื่อพื้นที่ทํางานถูกกําหนดให้กับความจุ Fabric ข้อมูลทั้งหมดที่อยู่ในพื้นที่ทํางาน รวมถึง data lake OneLake จะถูกจัดเก็บและประมวลผลในภูมิภาคความจุ |
แพลตฟอร์มเมตาดาต้าและแพลตฟอร์มความจุ back-end แต่ละรายการทํางานในเครือข่ายเสมือนที่มีความปลอดภัย เครือข่ายเหล่านี้จะแสดงชุดของจุดสิ้นสุดการรักษาความปลอดภัยไปยังอินเทอร์เน็ตเพื่อให้พวกเขาสามารถรับคําขอจากผู้ใช้และบริการอื่น ๆ ได้ นอกเหนือจากจุดสิ้นสุดเหล่านี้ แล้ว บริการยังได้รับการปกป้องโดยกฎความปลอดภัยของเครือข่ายที่บล็อกการเข้าถึงจากอินเทอร์เน็ตสาธารณะ
เมื่อผู้ใช้ลงชื่อเข้าใช้ Fabric คุณสามารถบังคับใช้ชั้นของการป้องกันอื่น ๆ ได้ ด้วยวิธีนี้ ผู้เช่าของคุณจะสามารถเข้าถึงผู้ใช้ บางรายเท่านั้น และ เมื่อตรงตามเงื่อนไขอื่น เช่น ตําแหน่งเครือข่ายและการปฏิบัติตามกฎระเบียบของอุปกรณ์ ชั้นของการป้องกันนี้เรียกว่า การป้องกันขาเข้า
ในสถานการณ์นี้ คุณจะต้องรับผิดชอบต่อข้อมูลผู้ป่วยที่ละเอียดอ่อนใน Fabric ดังนั้นองค์กรของคุณได้กําหนดว่าผู้ใช้ทั้งหมดที่เข้าถึง Fabric ต้องดําเนินการรับรองความถูกต้องแบบหลายปัจจัย (MFA) และต้องอยู่บนเครือข่ายขององค์กร เพียงแค่รักษาข้อมูลประจําตัวของผู้ใช้ไม่เพียงพอ
องค์กรของคุณยังมีความยืดหยุ่นสําหรับผู้ใช้โดยอนุญาตให้พวกเขาทํางานจากที่ใดก็ได้และใช้อุปกรณ์ส่วนบุคคลของพวกเขา เนื่องจาก Microsoft Intune สนับสนุนการนําอุปกรณ์ของคุณเองมาใช้เอง (BYOD) คุณลงทะเบียนอุปกรณ์ผู้ใช้ที่ได้รับการอนุมัติใน Intune
นอกจากนี้ คุณจําเป็นต้องตรวจสอบให้แน่ใจว่าอุปกรณ์เหล่านี้เป็นไปตามนโยบายขององค์กร โดยเฉพาะ นโยบายเหล่านี้กําหนดให้อุปกรณ์สามารถเชื่อมต่อได้เฉพาะเมื่อติดตั้งระบบปฏิบัติการล่าสุดและโปรแกรมแก้ไขการรักษาความปลอดภัยล่าสุดเท่านั้น คุณตั้งค่าข้อกําหนดด้านความปลอดภัยเหล่านี้โดยใช้ การเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra
การเข้าถึงตามเงื่อนไขมีหลายวิธีในการรักษาความปลอดภัยผู้เช่าของคุณ คุณสามารถ:
- อนุญาตหรือบล็อกการเข้าถึงตามตําแหน่งเครือข่าย
- บล็อกการเข้าถึงอุปกรณ์ที่ทํางานบนระบบปฏิบัติการที่ไม่รองรับ
- จําเป็นต้องใช้อุปกรณ์ที่สอดคล้อง อุปกรณ์ที่รวม Intune หรือ MFA สําหรับผู้ใช้ทั้งหมด
- และอื่น ๆ อีกมาก
ในกรณีที่คุณจําเป็นต้องล็อกผู้เช่า Fabric ทั้งหมดของคุณ คุณสามารถใช้เครือข่ายเสมือนและบล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะได้ การเข้าถึง Fabric ได้รับอนุญาตจากภายในเครือข่ายเสมือนที่มีความปลอดภัยดังกล่าวเท่านั้น ข้อกําหนดนี้ถูกตั้งค่าโดยการเปิดใช้งาน การเชื่อมโยงส่วนตัวในระดับ ผู้เช่าสําหรับ Fabric เพื่อให้แน่ใจว่าตําแหน่งข้อมูล Fabric ทั้งหมดจะแก้ไขเป็นที่อยู่ IP ส่วนตัวในเครือข่ายเสมือนของคุณ รวมถึงการเข้าถึงรายงาน Power BI ทั้งหมดของคุณ (การเปิดใช้งานจุดสิ้นสุดส่วนตัวส่งผลกระทบต่อสิ่งของ Fabric จํานวนมาก ดังนั้นคุณควรอ่าน บทความนี้ อย่างละเอียดก่อนที่จะเปิดใช้งาน)
รักษาความปลอดภัยการเข้าถึงข้อมูลภายนอก Fabric (การป้องกันขาออก)
ถัดไป คุณตั้งค่า การป้องกันขาออกซึ่งเกี่ยวข้องกับการเข้าถึงข้อมูลที่อยู่เบื้องหลังไฟร์วอลล์หรือจุดสิ้นสุดส่วนตัวอย่างปลอดภัย
องค์กรของคุณมีแหล่งข้อมูลบางอย่างที่อยู่บนเครือข่ายภายในองค์กรของคุณ เนื่องจากแหล่งข้อมูลเหล่านี้อยู่เบื้องหลังไฟร์วอลล์ Fabric จึงต้องการการเข้าถึงที่ปลอดภัย เพื่ออนุญาตให้ Fabric เชื่อมต่อกับแหล่งข้อมูลภายในองค์กรของคุณได้อย่างปลอดภัย คุณต้องติดตั้ง เกตเวย์ข้อมูลภายในองค์กร
สามารถใช้เกตเวย์โดยกระแสข้อมูลและไปป์ไลน์ข้อมูล Data Factory เพื่อนําเข้า เตรียมและแปลงข้อมูลในองค์กร จากนั้นโหลดไปยัง OneLake ด้วยกิจกรรมการคัดลอก Data Factory สนับสนุนชุด ตัวเชื่อมต่อ ที่ครอบคลุมที่ช่วยให้คุณสามารถเชื่อมต่อกับที่เก็บข้อมูลที่แตกต่างกันมากกว่า 100 แห่งได้
จากนั้นคุณสร้างกระแสข้อมูลด้วย Power Query ซึ่งมอบประสบการณ์การใช้งานที่ง่ายด้วยอินเทอร์เฟซที่มีรหัสต่ํา คุณใช้เพื่อนําเข้าข้อมูลจากแหล่งข้อมูลของคุณ และแปลงโดยใช้การแปลงข้อมูลมากกว่า 300+ รายการ จากนั้นคุณสร้างและปรับเปลี่ยนกระบวนการแยก การแปลง และการโหลด (ETL) ที่ซับซ้อนด้วยไปป์ไลน์ข้อมูล คุณกระบวนการ ETL สามารถรีเฟรชกระแสข้อมูลและทํางานต่าง ๆ ได้มากมายในระดับมาตราส่วน ประมวลผลข้อมูลระดับเพตะไบต์
ในสถานการณ์นี้ คุณมีกระบวนการ ETL หลายกระบวนการอยู่แล้ว ก่อนอื่น คุณมีไปป์ไลน์บางอย่างใน Azure Data Factory (ADF) ในปัจจุบัน ไปป์ไลน์เหล่านี้จะนําเข้าข้อมูลภายในองค์กรของคุณและโหลดลงใน data lake ใน Azure Storage โดยใช้ รันไทม์การรวมแบบโฮสต์ตัวเอง ประการที่สอง คุณมีเฟรมเวิร์กการนําเข้าข้อมูลใน Azure Databricks ที่เขียนใน Spark
ตอนนี้คุณกําลังใช้ Fabric คุณเพียงแค่เปลี่ยนเส้นทางปลายทางผลลัพธ์ของไปป์ไลน์ ADF เพื่อใช้ตัว เชื่อมต่อ lakehouse และสําหรับเฟรมเวิร์กการนําเข้าข้อมูลใน Azure Databricks คุณใช้ OneLake APIs ที่สนับสนุนโปรแกรมควบคุม Azure Blog Filesystem (ABFS) เพื่อรวม OneLicks กับ Azure Databricks (คุณยังสามารถใช้วิธีการเดียวกันเพื่อรวม OneLake กับ Azure Synapse Analytics โดยใช้ Apache Spark)
นอกจากนี้คุณยังมีแหล่งข้อมูลบางอย่างที่อยู่ในฐานข้อมูล Azure SQL คุณจําเป็นต้องเชื่อมต่อกับแหล่งข้อมูลเหล่านี้โดยใช้จุดสิ้นสุดส่วนตัว ในกรณีนี้ คุณตัดสินใจที่จะตั้งค่า เกตเวย์ ข้อมูลเครือข่ายเสมือน (VNet) และใช้กระแสข้อมูลเพื่อเชื่อมต่ออย่างปลอดภัยกับข้อมูล Azure ของคุณและโหลดลงใน Fabric ด้วยเกตเวย์ข้อมูล VNet คุณไม่จําเป็นต้องจัดเตรียมและจัดการโครงสร้างพื้นฐาน (ตามที่คุณต้องการสําหรับเกตเวย์ข้อมูลภายในองค์กร) นั่นเป็นเพราะ Fabric ได้อย่างปลอดภัยและสร้างคอนเทนเนอร์ในเครือข่ายเสมือน Azure ของคุณ
ถ้าคุณกําลังพัฒนาหรือโยกย้ายเฟรมเวิร์กการนําเข้าข้อมูลของคุณใน Spark คุณสามารถเชื่อมต่อกับแหล่งข้อมูลใน Azure ได้อย่างปลอดภัยและเป็นส่วนตัวจากสมุดบันทึกและงาน Fabric ด้วยความช่วยเหลือของจุดสิ้นสุดส่วนตัวที่มีการจัดการ จุดสิ้นสุดส่วนตัวที่มีการจัดการสามารถสร้างได้ในพื้นที่ทํางาน Fabric ของคุณเพื่อเชื่อมต่อกับแหล่งข้อมูลใน Azure ที่บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ พวกเขารองรับจุดสิ้นสุดส่วนตัว เช่น ฐานข้อมูล Azure SQL และ Azure Storage จุดสิ้นสุดส่วนตัวที่มีการจัดการจะถูกเตรียมใช้งานและจัดการใน VNet ที่มีการจัดการซึ่งเฉพาะกับพื้นที่ทํางาน Fabric ไม่เหมือนกับเครือข่ายเสมือน Azure ทั่วไปของคุณ VNets ที่มีการจัดการและจุดสิ้นสุดส่วนตัวที่มีการจัดการจะไม่พบในพอร์ทัล Azure นั่นเป็นเพราะพวกเขาได้รับการจัดการโดย Fabric อย่างสมบูรณ์และคุณจะพบได้ในการตั้งค่าพื้นที่ทํางานของคุณ
เนื่องจากคุณมีข้อมูลจํานวนมากที่จัดเก็บไว้ใน บัญชี Azure Data Lake Storage (ADLS) Gen2 ตอนนี้คุณจําเป็นต้องเชื่อมต่อปริมาณงาน Fabric เช่น Spark และ Power BI เท่านั้น นอกจากนี้ด้วยทางลัด OneLake ADLS คุณสามารถเชื่อมต่อกับข้อมูลที่มีอยู่ของคุณจากประสบการณ์ Fabric ใด ๆ ได้อย่างง่ายดาย เช่น ไปป์ไลน์การรวมข้อมูล สมุดบันทึกวิศวกรรมข้อมูล และรายงาน Power BI
พื้นที่ทํางานพื้นที่ทํางานที่มี ข้อมูลประจําตัว ของพื้นที่ทํางานสามารถเข้าถึงบัญชีที่เก็บข้อมูล ADLS Gen2 ได้อย่างปลอดภัยแม้ว่าคุณจะปิดใช้งานเครือข่ายสาธารณะแล้วก็ตาม ซึ่งทําได้โดย การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ อนุญาตให้ Fabric เชื่อมต่อกับบัญชีเก็บข้อมูลได้อย่างปลอดภัยโดยใช้เครือข่ายแกนหลักของ Microsoft ซึ่งหมายความว่าการสื่อสารไม่ได้ใช้อินเทอร์เน็ตสาธารณะซึ่งช่วยให้คุณสามารถปิดใช้งานเครือข่ายสาธารณะในการเข้าถึงบัญชีเก็บข้อมูล แต่ยังคงอนุญาตให้พื้นที่ทํางาน Fabric บางพื้นที่เชื่อมต่อกับพวกเขา
การปฏิบัติตามกฎระเบียบ
คุณต้องการใช้ Fabric เพื่อนําเข้า จัดเก็บ ประมวลผล และวิเคราะห์ข้อมูลของคุณในระบบคลาวด์อย่างปลอดภัย ในขณะที่ยังคงรักษาการปฏิบัติตามข้อกําหนดของอุตสาหกรรมและนโยบายขององค์กรของคุณ
Fabric เป็นส่วนหนึ่งของบริการ Microsoft Azure Core Services และถูกควบคุมโดยข้อกําหนดบริการออนไลน์ของ Microsoft และคําชี้แจงสิทธิ์ส่วนบุคคลของ Microsoft Enterprise โดยทั่วไปการรับรองจะเกิดขึ้นหลังจากเปิดตัวผลิตภัณฑ์ (พร้อมใช้งานโดยทั่วไปหรือ GA) Microsoft จะรวมแนวทางปฏิบัติที่ดีที่สุดสําหรับการปฏิบัติตามกฎระเบียบตั้งแต่เริ่มต้นและตลอดวงจรชีวิตการพัฒนา วิธีการเชิงรุกนี้ช่วยรับประกันพื้นฐานที่แข็งแกร่งสําหรับใบรับรองในอนาคตแม้ว่าพวกเขาจะปฏิบัติตามวงจรการตรวจสอบที่สร้างขึ้น ในแง่ที่ง่ายขึ้นเราจัดลําดับความสําคัญของการสร้างการปฏิบัติตามกฎระเบียบตั้งแต่เริ่มต้นแม้ว่าใบรับรองอย่างเป็นทางการจะมาในภายหลัง
ผ้าสอดคล้องกับมาตรฐานอุตสาหกรรมจํานวนมากเช่น ISO 27001, 27017, 27018 และ 27701 ผ้ายัง สอดคล้องกับ HIPAA ซึ่งมีความสําคัญต่อการดูแลสุขภาพความเป็นส่วนตัวและความปลอดภัยของข้อมูล คุณสามารถตรวจสอบภาคผนวก A และ B ได้ใน ข้อเสนอการปฏิบัติตามข้อบังคับของ Microsoft Azure สําหรับข้อมูลเชิงลึกโดยละเอียดว่าบริการคลาวด์ใดอยู่ในขอบเขตสําหรับใบรับรอง คุณยังสามารถเข้าถึงเอกสารการตรวจสอบจาก Service Trust Portal (STP) ได้
การปฏิบัติตามกฎระเบียบเป็นความรับผิดชอบร่วมกัน เพื่อปฏิบัติตามกฎหมายและข้อบังคับผู้ให้บริการระบบคลาวด์และลูกค้าของพวกเขามีความรับผิดชอบร่วมกันเพื่อให้แน่ใจว่าแต่ละคนเป็นส่วนหนึ่งของมัน ขณะที่คุณพิจารณาและประเมินบริการคลาวด์สาธารณะ เป็นสิ่งสําคัญที่ต้องทําความเข้าใจ แบบจําลอง ความรับผิดชอบที่ใช้ร่วมกันและงานด้านความปลอดภัยที่ผู้ให้บริการระบบคลาวด์จัดการและงานที่คุณจัดการ
การจัดการข้อมูล
เนื่องจากคุณกําลังจัดการกับข้อมูลผู้ป่วยที่ละเอียดอ่อน คุณจําเป็นต้องตรวจสอบให้แน่ใจว่าข้อมูลทั้งหมดของคุณได้รับการปกป้องอย่างเพียงพอทั้งในขณะพักและระหว่างการขนส่ง
การเข้ารหัสลับที่พักให้การป้องกันข้อมูลสําหรับข้อมูลที่จัดเก็บไว้ (ที่พัก) การโจมตีข้อมูลที่พักรวมถึงความพยายามในการเข้าถึงฮาร์ดแวร์ที่เก็บข้อมูลทางกายภาพ แล้วทําให้ข้อมูลบนฮาร์ดแวร์นั้นด้อยลง การเข้ารหัสลับที่เหลือถูกออกแบบมาเพื่อป้องกันผู้โจมตีจากการเข้าถึงข้อมูลเข้ารหัสลับ โดยการตรวจสอบให้แน่ใจว่า ข้อมูลถูกเข้ารหัสลับเมื่อบนดิสก์ การเข้ารหัสที่พักเป็นหน่วยวัดภาคบังคับที่จําเป็นสําหรับการปฏิบัติตามมาตรฐานและข้อบังคับอุตสาหกรรมบางอย่าง เช่น องค์การระหว่างประเทศว่าด้วยมาตรฐาน (ISO) และกฎหมายว่าด้วยการควบคุมและการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (HIPAA)
ที่เก็บข้อมูล Fabric ทั้งหมดจะถูก เข้ารหัสลับทั้งหมด โดยใช้คีย์ที่จัดการโดย Microsoft ซึ่งให้การป้องกันสําหรับข้อมูลลูกค้าและยังรวมถึงข้อมูลระบบและเมตาดาต้า ข้อมูลจะไม่ยังคงอยู่เพื่อเก็บข้อมูลถาวรในขณะที่อยู่ในสถานะเข้ารหัสลับ ด้วยคีย์ที่จัดการโดย Microsoft คุณจะได้รับประโยชน์จากการเข้ารหัสของข้อมูลของคุณที่พักไว้โดยไม่มีความเสี่ยงหรือค่าใช้จ่ายของโซลูชันการจัดการคีย์แบบกําหนดเอง
นอกจากนี้ยังมีการเข้ารหัสลับข้อมูลในการส่งต่อ การรับส่งข้อมูลขาเข้าทั้งหมดไปยังจุดสิ้นสุด Fabric จากระบบไคลเอ็นต์บังคับใช้ Transport Layer Security (TLS) 1.2 ต่ําสุด นอกจากนี้ยังเจรจา TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ TLS มีการรับรองความถูกต้องที่แข็งแกร่ง ความเป็นส่วนตัวของข้อความ และความถูกต้อง (เปิดใช้งานการตรวจหาการดัดแปลงข้อความ การสกัดกั้น และการปลอมแปลง) การทํางานร่วมกัน ความยืดหยุ่นของอัลกอริทึม และง่ายต่อการปรับใช้และใช้งาน
นอกเหนือจากการเข้ารหัสแล้ว การรับส่งข้อมูลเครือข่ายระหว่างบริการของ Microsoft จะวิ่งผ่านเครือข่ายส่วนกลางของ Microsoft เสมอซึ่งเป็นหนึ่งในเครือข่ายแกนหลักที่ใหญ่ที่สุดในโลก
การเข้ารหัสคีย์ที่จัดการโดยลูกค้า (CMK) และ Microsoft Fabric
คีย์ที่ลูกค้าจัดการ (CMK) ช่วยให้คุณสามารถเข้ารหัสข้อมูลที่พักไว้โดยใช้คีย์ของคุณเองได้ ตามค่าเริ่มต้น Microsoft Fabric จะเข้ารหัสข้อมูลที่พักโดยใช้คีย์ที่มีการจัดการของแพลตฟอร์ม ในแบบจําลองนี้ Microsoft มีหน้าที่รับผิดชอบทุกด้านของการจัดการคีย์และข้อมูลที่เหลือบน OneLake ถูกเข้ารหัสลับโดยใช้คีย์ จากมุมมองการปฏิบัติตามกฎระเบียบลูกค้าอาจมีข้อกําหนดในการใช้ CMK เพื่อเข้ารหัสข้อมูลที่พัก ในแบบจําลอง CMK ลูกค้าจะถือว่ามีการควบคุมคีย์ทั้งหมดและใช้คีย์ของตนในการเข้ารหัสข้อมูลที่พัก
หากคุณมีข้อกําหนดในการใช้ CMK เพื่อเข้ารหัสข้อมูลที่พักเราขอแนะนําให้คุณใช้บริการที่เก็บข้อมูลบนคลาวด์ (ADLS Gen2, AWS S3, GCS) ที่มีการเปิดใช้งานการเข้ารหัส CMK และเข้าถึงข้อมูลจาก Microsoft Fabric โดยใช้ ทางลัด OneLake ในรูปแบบนี้ ข้อมูลของคุณจะยังคงอยู่ในบริการจัดเก็บข้อมูลแบบคลาวด์หรือโซลูชันที่เก็บข้อมูลภายนอกที่เปิดใช้งานการเข้ารหัสลับโดยใช้ CMK และคุณสามารถดําเนินการอ่านในสถานที่จาก Fabric ขณะที่ยังเป็นไปตามข้อกําหนด เมื่อปุ่มลัดถูกสร้างขึ้นภายใน Fabric สามารถเข้าถึงข้อมูลได้โดยประสบการณ์ Fabric อื่น ๆ
มีข้อควรพิจารณาบางอย่างสําหรับการใช้รูปแบบนี้:
- ใช้รูปแบบที่อธิบายไว้ที่นี่สําหรับข้อมูลที่มีข้อกําหนดการเข้ารหัสลับที่พักโดยใช้ CMK ข้อมูลที่ไม่มีข้อกําหนดนี้สามารถเข้ารหัสลับในขณะพักโดยใช้คีย์ที่จัดการโดยแพลตฟอร์ม และข้อมูลนั้นสามารถจัดเก็บในแบบดั้งเดิมบน Microsoft Fabric OneLake
- ฐานข้อมูล Fabric Lakehouse และ KQL เป็นปริมาณงานสองตัวภายใน Microsoft Fabric ซึ่งสนับสนุนการสร้างทางลัด ในรูปแบบนี้ที่ข้อมูลยังคงตั้งอยู่บนบริการพื้นที่จัดเก็บภายนอกที่เปิดใช้งาน CMK คุณสามารถใช้ทางลัดภายใน Lakehouses และฐานข้อมูล KQL เพื่อนําข้อมูลของคุณลงใน Microsoft Fabric สําหรับการวิเคราะห์ แต่ข้อมูลถูกจัดเก็บไว้ภายนอก OneLake ที่เปิดใช้งานการเข้ารหัส CMK
- ทางลัด ADLS Gen2 รองรับการเขียนและการใช้ทางลัดประเภทนี้คุณยังสามารถเขียนข้อมูลกลับไปยังบริการที่เก็บข้อมูลและจะถูกเข้ารหัสลับไว้โดยใช้ CMK ในขณะที่ใช้ CMK กับ ADLS Gen2 ให้พิจารณาเกี่ยวกับ Azure Key Vault (AKV) และ Azure Storage
- หากคุณกําลังใช้โซลูชันที่เก็บข้อมูลของบุคคลที่สามซึ่งเป็นโซลูชันที่เข้ากันได้กับ AWS S3 (Cloudflare, Qumolo Core ที่มีจุดสิ้นสุดสาธารณะ, Public MinIO และ Dell ECS ที่มีตําแหน่งข้อมูลสาธารณะ) และเปิดใช้งาน CMK รูปแบบที่กล่าวถึงในเอกสารนี้สามารถขยายไปยังโซลูชันที่เก็บข้อมูลของบุคคลที่สามเหล่านี้ได้ เมื่อใช้ ทางลัดที่เข้ากันได้กับ Amazon S3 คุณสามารถนําข้อมูลลงใน Fabric โดยใช้ทางลัดจากโซลูชันเหล่านี้ได้ เช่นเดียวกับบริการที่เก็บข้อมูลบนระบบคลาวด์ คุณสามารถจัดเก็บข้อมูลบนที่เก็บข้อมูลภายนอกด้วยการเข้ารหัส CMK และดําเนินการอ่านแบบแทนที่ได้
- AWS S3 สนับสนุนการเข้ารหัสลับที่พักโดยใช้ คีย์ที่ลูกค้าจัดการ Fabric สามารถอ่านในตําแหน่งบนบักเก็ต S3 โดยใช้ ทางลัด S3 อย่างไรก็ตามการดําเนินการเขียนโดยใช้ทางลัดไปยัง AWS S3 จะไม่ได้รับการสนับสนุน
- ที่เก็บข้อมูลบน Google Cloud รองรับการเข้ารหัสข้อมูลโดยใช้ คีย์ที่ลูกค้าจัดการ ผ้าสามารถดําเนินการในสถานที่อ่านบน GCS; อย่างไรก็ตาม การดําเนินการเขียนโดยใช้ทางลัดไปยัง GCS จะไม่ได้รับการสนับสนุน
- เปิดใช้งาน การตรวจสอบ สําหรับ Microsoft Fabric เพื่อติดตามกิจกรรม
- ใน Microsoft Fabric Power BI สนับสนุนคีย์ที่ลูกค้าจัดการด้วย นําคีย์การเข้ารหัสลับของคุณเองมาใช้กับ Power BI
- ปิดใช้งานคุณลักษณะการแคชทางลัดสําหรับทางลัดที่เข้ากันได้กับ S3, GCS และ S3 เมื่อข้อมูลที่แคชยังคงอยู่บน OneLake
ที่เก็บข้อมูล
ในขณะที่คุณกําลังจัดการกับข้อมูลผู้ป่วย เนื่องจากเหตุผลการปฏิบัติตามกฎระเบียบที่องค์กรของคุณได้จัดการให้ข้อมูลนั้นไม่ควรออกจากขอบเขตทางภูมิศาสตร์ของสหรัฐอเมริกา การดําเนินงานหลักขององค์กรของคุณเกิดขึ้นในนิวยอร์กและสํานักงานใหญ่ของคุณในซีแอตเทิล ขณะตั้งค่า Power BI องค์กรของคุณได้เลือกภูมิภาคสหรัฐอเมริกาตะวันออกเป็นภูมิภาคหลักของผู้เช่า สําหรับการดําเนินการของคุณ คุณได้สร้างความจุ Fabric ในภูมิภาคสหรัฐอเมริกาตะวันตกซึ่งอยู่ใกล้กับแหล่งข้อมูลของคุณมากขึ้น เนื่องจาก OneLake มีให้ใช้งานทั่วโลก คุณจึงกังวลว่าคุณจะสามารถทําตามนโยบายการเก็บข้อมูลขององค์กรของคุณในขณะที่ใช้ Fabric ได้หรือไม่
ใน Fabric คุณจะได้เรียนรู้ว่าคุณสามารถสร้าง ความจุ Multi-Geo ซึ่งเป็นความจุที่ตั้งอยู่ในภูมิศาสตร์ (ภูมิศาสตร์) นอกเหนือจากภูมิภาคบ้านของผู้เช่าของคุณ คุณกําหนดพื้นที่ทํางาน Fabric ของคุณไปยังความจุเหล่านั้น ในกรณีนี้ การคํานวณและเก็บข้อมูล (รวมถึง OneLake และที่เก็บข้อมูลเฉพาะประสบการณ์) สําหรับรายการทั้งหมดในพื้นที่ทํางานอยู่ในภูมิภาค multi-geo ในขณะที่เมตาดาต้าของผู้เช่าของคุณยังคงอยู่ในภูมิภาคหลัก ข้อมูลของคุณจะถูกจัดเก็บและประมวลผลในสองภูมิศาสตร์นี้ เท่านั้น ดังนั้นจึงมั่นใจได้ว่าเป็นไปตามข้อกําหนดที่อยู่ข้อมูลขององค์กรของคุณ
การควบคุมการเข้าถึง
คุณจําเป็นต้องตรวจสอบให้แน่ใจว่ามีเพียงคุณและเพื่อนวิศวกรข้อมูลเท่านั้นที่สามารถเข้าถึงข้อมูลในชั้นทองแดงและเงินของเลเยอร์ทะเลสาบได้เต็มรูปแบบ เลเยอร์เหล่านี้ช่วยให้คุณสามารถดําเนินการทําความสะอาดข้อมูล การตรวจสอบความถูกต้อง การแปลง และการเสริมสร้างข้อมูลได้ คุณจําเป็นต้องจํากัดการเข้าถึงข้อมูลในชั้นทองคําเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้น เช่น นักวิเคราะห์ข้อมูลและผู้ใช้ทางธุรกิจ ที่สามารถใช้ข้อมูลเพื่อวัตถุประสงค์ในการวิเคราะห์ต่าง ๆ เช่น การรายงานและการวิเคราะห์
Fabric ให้แบบจําลองการอนุญาตที่ยืดหยุ่นซึ่งช่วยให้คุณสามารถควบคุมการเข้าถึงรายการและข้อมูลในพื้นที่ทํางานของคุณได้ พื้นที่ทํางานเป็นเอนทิตี้เชิงตรรกะที่มั่นคงสําหรับการจัดกลุ่มรายการใน Fabric คุณใช้ บทบาท พื้นที่ทํางานเพื่อควบคุมการเข้าถึงรายการในพื้นที่ทํางาน บทบาทพื้นฐานสี่ประการของพื้นที่ทํางานคือ:
- ผู้ดูแลระบบ: สามารถดู ปรับเปลี่ยน แชร์ และจัดการเนื้อหาทั้งหมดในพื้นที่ทํางาน รวมถึงการจัดการสิทธิ์
- สมาชิก: สามารถดู ปรับเปลี่ยน และแชร์เนื้อหาทั้งหมดในพื้นที่ทํางาน
- ผู้สนับสนุน: สามารถดูและปรับเปลี่ยนเนื้อหาทั้งหมดในพื้นที่ทํางาน
- ผู้ชม: สามารถดูเนื้อหาทั้งหมดในพื้นที่ทํางาน แต่ไม่สามารถปรับเปลี่ยนได้
ในสถานการณ์นี้ คุณสร้างพื้นที่ทํางานสามรายการ หนึ่งพื้นที่ทํางานสําหรับแต่ละเลเยอร์เหรียญรางวัล (สีบรอนซ์ เงิน และทอง) เนื่องจากคุณได้สร้างพื้นที่ทํางาน คุณจะได้รับมอบหมายให้ทําหน้าที่เป็น ผู้ดูแลระบบ โดยอัตโนมัติ
จากนั้นคุณเพิ่มกลุ่มความปลอดภัยไปยัง บทบาท ผู้ สนับสนุน ของพื้นที่ทํางานทั้งสามนั้น เนื่องจากกลุ่มความปลอดภัยประกอบด้วยวิศวกรเพื่อนของคุณในฐานะสมาชิก พวกเขาสามารถสร้างและปรับเปลี่ยนรายการ Fabric ในพื้นที่ทํางานเหล่านั้น ได้ อย่างไรก็ตามพวกเขาไม่สามารถแชร์รายการใดๆ กับบุคคลอื่นได้ หรือพวกเขาสามารถให้สิทธิ์การเข้าถึงแก่ผู้ใช้อื่น
ในพื้นที่ทํางานสีบรอนซ์และสีเงิน คุณและวิศวกรเพื่อนของคุณสร้างรายการ Fabric เพื่อนําเข้าข้อมูล จัดเก็บข้อมูล และประมวลผลข้อมูล รายการผ้าประกอบด้วยเลคเฮ้าส์, ไปป์ไลน์และโน้ตบุ๊ค ในพื้นที่ทํางานทองคํา คุณจะสร้างเลคเฮ้าส์สองแห่ง ไปป์ไลน์และโน้ตบุ๊ก สองแบบ และ แบบจําลองความหมาย Direct Lake ซึ่งให้ประสิทธิภาพคิวรีที่รวดเร็วของข้อมูลที่จัดเก็บไว้ในเลคเฮ้าส์แห่งหนึ่ง
จากนั้นให้คุณพิจารณาอย่างรอบคอบว่านักวิเคราะห์ข้อมูลและผู้ใช้ทางธุรกิจสามารถเข้าถึงข้อมูลที่พวกเขาได้รับอนุญาตให้เข้าถึงได้อย่างไร โดยเฉพาะพวกเขาสามารถเข้าถึงข้อมูลที่เกี่ยวข้องกับบทบาทและแผนกของพวกเขาเท่านั้น
เลคเฮ้าส์แรกประกอบด้วยข้อมูลจริง และไม่บังคับใช้สิทธิ์ข้อมูลใด ๆ ใน จุดสิ้นสุดการวิเคราะห์ SQL เลคเฮ้าส์ที่สองมีทางลัดไปยังเลคเฮ้าส์แรกและมีการบังคับใช้สิทธิ์ข้อมูลที่ละเอียดในจุดสิ้นสุดการวิเคราะห์ SQL แบบจําลองความหมายเชื่อมต่อกับเลคเฮ้าส์แรก หากต้องการบังคับใช้สิทธิ์ในข้อมูลที่เหมาะสมสําหรับผู้ใช้ (เพื่อให้พวกเขาสามารถเข้าถึงข้อมูลที่เกี่ยวข้องกับบทบาทและแผนกของพวกเขาเท่านั้น) คุณไม่แชร์เลคเฮ้าส์แรกกับผู้ใช้ แต่คุณจะแชร์เฉพาะแบบจําลองความหมาย Direct Lake และเลคเฮ้าส์ที่สองที่บังคับใช้สิทธิ์ข้อมูลในจุดสิ้นสุดการวิเคราะห์ SQL
คุณตั้งค่าแบบจําลองความหมายเพื่อใช้ข้อมูลประจําตัวแบบคงที่ จากนั้นใช้การรักษาความปลอดภัยระดับแถว (RLS) ในแบบจําลองความหมายเพื่อบังคับใช้กฎแบบจําลองเพื่อควบคุมข้อมูลที่ผู้ใช้สามารถเข้าถึงได้ จากนั้น คุณแชร์ เฉพาะแบบจําลองความหมายกับนักวิเคราะห์ข้อมูลและผู้ใช้ทางธุรกิจเนื่องจากพวกเขาไม่ควรเข้าถึงรายการอื่น ๆ ในพื้นที่ทํางาน เช่น ไปป์ไลน์และสมุดบันทึก สุดท้าย คุณให้สิทธิ์ในการสร้างบนแบบจําลองความหมายเพื่อให้ผู้ใช้สามารถสร้างรายงาน Power BI ได้ ด้วยวิธี แบบจําลองความหมายจะกลายเป็น แบบจําลองเชิงความหมายที่ใช้ร่วมกัน และเป็นแหล่งข้อมูลสําหรับรายงาน Power BI ของพวกเขา
นักวิเคราะห์ข้อมูลของคุณจําเป็นต้องเข้าถึงเลคเฮ้าส์หลังที่สองในพื้นที่ทํางานทองคํา พวกเขาจะเชื่อมต่อกับจุดสิ้นสุดการวิเคราะห์ SQL ของเลคเฮาส์นั้นเพื่อเขียนคิวรี SQL และทําการวิเคราะห์ ดังนั้นคุณแชร์เลคเฮ้าส์นั้นกับพวกเขาและให้การเข้าถึง เฉพาะวัตถุที่พวกเขาต้องการ (เช่น ตาราง แถว และคอลัมน์ที่มีกฎการปกปิด) ในจุดสิ้นสุดการวิเคราะห์ของ lakehouse SQL โดยใช้ แบบจําลองการรักษาความปลอดภัย SQL นักวิเคราะห์ข้อมูลสามารถเข้าถึงได้เฉพาะข้อมูลที่เกี่ยวข้องกับบทบาทและแผนกของพวกเขาเท่านั้น และพวกเขาไม่สามารถเข้าถึงรายการอื่น ๆ ในพื้นที่ทํางาน เช่น ไปป์ไลน์และสมุดบันทึกได้
สถานการณ์ความปลอดภัยทั่วไป
ตารางต่อไปนี้แสดงรายการสถานการณ์ความปลอดภัยทั่วไปและเครื่องมือที่คุณสามารถใช้เพื่อทําให้สําเร็จได้
| สถานการณ์สมมติ | เครื่องมือ | ทิศทาง |
|---|---|---|
| ฉันเป็น นักพัฒนา ETL และฉันต้องการโหลดข้อมูลจํานวนมากไปยัง Fabric ในระดับที่มาจากระบบแหล่งข้อมูลและตารางหลายรายการ แหล่งข้อมูลคือภายในองค์กร (หรือระบบคลาวด์อื่นๆ) และอยู่หลังไฟร์วอลล์และ/หรือแหล่งข้อมูล Azure ที่มีจุดสิ้นสุดส่วนตัว | ใช้ เกตเวย์ ข้อมูลภายในองค์กรกับ ไปป์ไลน์ ข้อมูล (กิจกรรมการคัดลอก) | ขาออก |
| ฉันเป็น ผู้ใช้ ขั้นสูงและฉันต้องการโหลดข้อมูลไปยัง Fabric จากระบบต้นทางที่ฉันสามารถเข้าถึงได้ เนื่องจากฉันไม่ใช่นักพัฒนา ฉันจึงจําเป็นต้องแปลงข้อมูลโดยใช้อินเทอร์เฟซแบบรหัสต่ํา ข้อมูลต้นทางคือ ภายในองค์กร (หรือระบบคลาวด์อื่นๆ) และอยู่หลังไฟร์วอลล์ | ใช้เกตเวย์ข้อมูลภายในองค์กรกับ Dataflow Gen 2 | ขาออก |
| ฉันเป็น ผู้ใช้ ขั้นสูงและฉันต้องการโหลดข้อมูลใน Fabric จากระบบต้นทางที่ฉันสามารถเข้าถึงได้ ข้อมูลต้นฉบับอยู่ใน Azure อยู่เบื้องหลังจุดสิ้นสุดส่วนตัว และฉันไม่ต้องการติดตั้งและรักษาโครงสร้างพื้นฐานของเกตเวย์ข้อมูลภายในองค์กร | ใช้เกตเวย์ข้อมูล VNet กับกระแสข้อมูล รุ่น 2 | ขาออก |
| ฉันเป็น นักพัฒนา ที่สามารถเขียนรหัสการนําเข้าข้อมูลโดยใช้สมุดบันทึก Spark ฉันต้องการโหลดข้อมูลใน Fabric จากระบบต้นทางที่ฉันสามารถเข้าถึงได้ ข้อมูลต้นฉบับอยู่ใน Azure อยู่เบื้องหลังจุดสิ้นสุดส่วนตัว และฉันไม่ต้องการติดตั้งและรักษาโครงสร้างพื้นฐานของเกตเวย์ข้อมูลภายในองค์กร | ใช้สมุดบันทึก Fabric ที่มีจุดสิ้นสุดส่วนตัวของ Azure | ขาออก |
| ฉันมีไปป์ไลน์ที่มีอยู่ใน Azure Data Factory (ADF) และ Synapse pipelines ที่เชื่อมต่อกับแหล่งข้อมูลของฉันและโหลดข้อมูลลงใน Azure ตอนนี้ฉันต้องการปรับเปลี่ยนไปป์ไลน์เหล่านั้นเพื่อโหลดข้อมูลลงใน Fabric | ใช้ตัว เชื่อมต่อ Lakehouse ในไปป์ไลน์ที่มีอยู่ | ขาออก |
| ฉันมีเฟรมเวิร์กการนําเข้าข้อมูลที่พัฒนาขึ้นใน Spark ที่เชื่อมต่อกับแหล่งข้อมูลของฉันได้อย่างปลอดภัยและโหลดลงใน Azure ฉันกําลังใช้งานบน Azure Databricks และ/หรือ Synapse Spark ฉันต้องการใช้ Azure Databricks และ/หรือ Synapse Spark เพื่อโหลดข้อมูลลงใน Fabric ต่อไป | ใช้ OneLake และ Azure Data Lake Storage (ADLS) Gen2 API (โปรแกรมควบคุมระบบไฟล์ Azure Blob) | ขาออก |
| ฉันต้องการให้แน่ใจว่าจุดสิ้นสุด Fabric ของฉันได้รับการปกป้องจากอินเทอร์เน็ตสาธารณะ | ในฐานะที่เป็นบริการ SaaS Backend ของ Fabric ได้รับการปกป้องจากอินเทอร์เน็ตสาธารณะแล้ว สําหรับการป้องกันเพิ่มเติม ให้ใช้ นโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra สําหรับ Fabric และ/หรือเปิดใช้งาน ลิงก์ส่วนตัวที่ระดับ ผู้เช่าสําหรับ Fabric และบล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ | ขาเข้า |
| ฉันต้องการให้แน่ใจว่า Fabric สามารถเข้าถึงได้จากภายในเครือข่ายขององค์กรของฉันเท่านั้น และ/หรือจากอุปกรณ์ที่ตรงตามมาตรฐาน | ใช้นโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra สําหรับ Fabric | ขาเข้า |
| ฉันต้องการให้แน่ใจว่าทุกคนที่เข้าถึง Fabric ต้องดําเนินการรับรองความถูกต้องแบบหลายปัจจัย | ใช้นโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra สําหรับ Fabric | ขาเข้า |
| ฉันต้องการล็อกผู้เช่า Fabric ทั้งหมดของฉันจากอินเทอร์เน็ตสาธารณะและอนุญาตให้เข้าถึงจากภายในเครือข่ายเสมือนของฉันเท่านั้น | เปิดใช้งาน ลิงก์ส่วนตัวที่ระดับ ผู้เช่าสําหรับ Fabric และบล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ | ขาเข้า |
เนื้อหาที่เกี่ยวข้อง
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Fabric security โปรดดูทรัพยากรต่อไปนี้
- การรักษาความปลอดภัยใน Microsoft Fabric
- ภาพรวมการรักษาความปลอดภัย OneLake
- แนวคิดและสิทธิ์การใช้งาน Microsoft Fabric
- คำถาม ลองถาม ชุมชน Microsoft Fabric
- คำ แนะ นำ สนับสนุนแนวคิดในการปรับปรุง Microsoft Fabric