Microsoft Fabric 安全基础知识
本文从整体出发,通过介绍系统工作中的主要安全流来介绍 Microsoft Fabric 安全体系结构。 此外,还介绍了用户如何使用 Fabric 进行身份验证,如何建立数据连接,以及 Fabric 如何存储和通过服务移动数据。
本文主要面向负责监督组织的 Fabric 的 Fabric 管理员。 文中内容与企业安全项目负责人相关,其中包括安全管理员、网络管理员、Azure 管理员、工作区管理员和数据库管理员。
Fabric 平台
Microsoft Fabric 是面向企业的一体化分析解决方案,涵盖从数据移动到数据科学、实时分析和商业智能 (BI) 的所有内容。 Fabric 平台包括一系列服务和基础结构组件,这些组件支持所有 Fabric 体验的通用功能。 它们协同配合,提供了一套全面的分析体验,旨在无缝协同工作。 体验包括湖屋、数据工厂、Fabric 数据工程、Fabric 数据仓库、Power BI 等。
使用 Fabric 时,无需将来自多个供应商的不同服务拼凑在一起。 相反,你可以享受高度集成、端到端且易于使用的产品,旨在简化分析需求。 Fabric 的设计初衷是为了保护敏感资产。
Fabric 平台是基于软件即服务 (SaaS) 构建的,提供可靠性、简单性和可伸缩性。 它基于 Azure 构建,是 Microsoft 的公有云计算平台。 过去,许多数据产品都一直采用平台即服务 (PaaS),这种模式需要为服务配备一名管理员来为每一项服务设置安全、合规与治理。 由于 Fabric 是 SaaS 服务,因此其中许多功能内置于 SaaS 平台中,无需设置或需要非常少的设置。
体系结构图
下面的体系结构关系图从总体上概括了 Fabric 的安全体系结构。
这张体系结构关系图描述了以下概念。
用户使用浏览器或客户端应用程序(如 Power BI Desktop)连接到 Fabric 服务。
身份验证由 Microsoft Entra ID(以前称为 Azure Active Directory)处理,后者是一项基于云的标识和访问管理服务,用于对用户(或服务主体)进行身份验证和管理对 Fabric 的访问。
Web 前端接收用户请求并方便登录。 它还将请求路由并向用户提供前端内容。
元数据平台存储租户元数据,其中包括客户数据。 Fabric 服务按需查询此平台,以便检索授权信息并授权和验证用户请求。 它位于租户主区域。
后端容量平台负责计算操作和存储客户数据,并且位于容量区域中。 它根据需要利用该区域中的 Azure 核心服务来获得特定的 Fabric 体验。
Fabric 平台基础结构服务采用多租户模式。 租户之间存在逻辑隔离。 这些服务不会处理复杂的用户输入,并且都以托管代码编写。 平台服务永远不会运行任何用户编写的代码。
元数据平台和后端容量平台均在受保护的虚拟网络中运行。 这些网络向 Internet 公开一系列安全终结点,以便它们可以接收来自客户和其他服务的请求。 除了这些终结点外,服务还受到阻止从公共 Internet 访问的网络安全规则的保护。 根据每个内部服务的特权,虚拟网络中的通信也会受到限制。
应用程序层可确保租户只能从其自己的租户中访问数据。
身份验证
Fabric 依赖于 Microsoft Entra ID 对用户(或服务主体)进行身份验证。 经过身份验证后,用户从 Microsoft Entra ID 接收访问令牌。 Fabric 使用这些令牌在用户的上下文中执行操作。
Microsoft Entra ID 的一项关键功能是条件访问。 条件访问通过强制实施多重身份验证来确保租户安全,只允许已经注册 Microsoft Intune 的设备访问特定服务。 条件访问还限制用户位置和 IP 范围。
授权
所有 Fabric 权限都由元数据平台集中存储。 Fabric 服务按需查询元数据平台,以便检索授权信息并授权和验证用户请求。
出于性能原因,Fabric 有时会将授权信息封装到已签名令牌中。 只有后端容量平台才能颁发已签名令牌,其中包含访问令牌、授权信息和其他元数据。
数据驻留
在 Fabric 中,租户分配给主元数据平台群集,该群集位于满足该区域地理位置的数据驻留要求的单一区域中。 租户元数据(可以包括客户数据)存储在此群集中。
客户可以控制自己的工作区位于哪里。 他们可以选择将自己的工作区定位在同一地理区域作为其元数据平台群集,要么明确将其工作区分配到该地区中的容量,要么隐性地使用 Fabric Trial、Power BI Pro 或 Power BI Premium Per User许可模式来实现。 在第二种情况下,所有客户数据均在此统一地理区域内进行存储和处理。 有关详细信息,请参阅 Microsoft Fabric 概念和许可证。
除了自己的主区域以外,客户还可以在其他地理(地理位置)创建多地理位置容量。 这种情况下,计算和存储(包括 OneLake 和体验特定存储)位于多地理位置区域中,不过租户元数据依然在主区域内。 客户数据将仅在这两个地理位置进行存储和处理。 有关详细信息,请参阅为 Fabric 配置多地理位置支持。
数据处理
本节概述 Fabric 中的数据处理工作原理。 包括客户数据的存储、处理和移动。
静态数据
所有 Fabric 数据平使用 Microsoft 管理的密钥来静态加密。 Fabric 数据包括客户数据以及系统数据和元数据。
虽然数据可以在处于未加密状态的内存中进行处理,但在未加密状态下,数据永远不会持久保存到永久存储。
传输中的数据
在 Microsoft 服务间传输中的数据始终使用至少 TLS 1.2 加密。 条件允许时,Fabric 尽可能协商到 TLS 1.3。 Microsoft 服务之间的流量始终通过 Microsoft 全球网络路由。
入站 Fabric 通信还会强制实施 TLS 1.2,并尽可能协商到 TLS 1.3。 当不支持较新协议时,发送到客户所有的基础结构的出站 Fabric 通信首选安全协议,但可能回退使用更旧的不安全的协议(包括 TLS 1.0)。
遥测
遥测用于维护 Fabric 平台的性能和可靠性。 Fabric 平台遥测存储旨在遵守 Fabric 提供服务的所有区域颁布的客户数据和隐私法规,包括欧盟 (EU) 地区。 有关详细信息,请参阅 EU 数据边界服务。
OneLake
OneLake 是整个组织的单个统一逻辑数据湖,并且会自动为每个 Fabric 租户预配。 它基于 Azure 构建,可以存储任何类型的结构化或非结构化文件。 此外,所有 Fabric 数据项(如数据仓库和湖屋)都自动将其数据存储在 OneLake 中。
OneLake 支持相同的 Azure Data Lake Storage Gen2 (ADLS Gen2) API 和 SDK,因此与现有的 ADLS Gen2 应用程序(包括 Azure Databricks)兼容。
有关详细信息,请参阅 Fabric 和 OneLake 安全性。
工作区安全性
工作区代表存储在 OneLake 中的数据的主安全边界。 每个工作区表示一个域或项目区域,团队可在其中协作处理数据。 通过将用户分配到工作区角色来管理工作区中的安全性。
有关详细信息,请参阅 Fabric 和 OneLake 安全性(工作区安全性)。
项安全性
在工作区中,可以直接将权限分配给 Fabric 项(如仓库和湖屋)。 项目安全性提供授予对单个 Fabric 项的访问权限的灵活性,而无需授予对整个工作区的访问权限。 用户可以通过共享项目或管理项目的权限来设置每项权限。
合规性资源
Fabric 服务受《Microsoft Online Services 条款》和《Microsoft Enterprise 隐私声明》约束。
有关数据处理的位置,请参阅 Microsoft 联机服务条款中的数据处理位置条款和数据保护附录。
有关符合性信息,Microsoft 信任中心提供了适用于 Fabric 的大量资源。 有关合规性的详细信息,请参阅 Microsoft 合规性产品。
Fabric 服务遵循安全开发生命周期 (SDL),由一系列支持安全保证和合规性要求的严格安全做法组成。 SDL 通过减少软件中漏洞的数量和严重性,帮助开发人员构建更安全的软件,同时降低开发成本。 有关详细信息,请参阅 Microsoft 安全开发生命周期做法。
相关内容
有关 Fabric 安全性的详细信息,请参阅下列资源: