Microsoft Fabric 中的安全性

Microsoft Fabric 是一个服务型软件 (SaaS) 平台,允许用户获取、创建、共享和可视化数据。

作为 SaaS 服务,Fabric 可为整个平台提供完整的安全数据包。 Fabric 免除了维护安全解决方案的成本和责任,并将其转移到云中。 通过 Fabric,可以使用 Microsoft 的专业知识和资源来保护数据安全,修补漏洞,监视威胁并遵守法规。 还可以通过 Fabric 根据不断变化的需求和要求来管理、控制和审核安全设置。

将数据引入云并将其与各种分析体验(例如 Power BI、数据工厂和下一代 Synapse)结合使用时,Microsoft 可确保通过内置的安全性和可靠性功能来保护静态数据和传输中的数据。 Microsoft 还可确保在发生基础结构故障或灾难时可恢复数据。

Fabric 的安全性具有以下特点:

  • 始终可用 - 默认情况下,与 Fabric 的每个交互都会过加密,并使用 Microsoft Entra ID 进行身份验证。 Fabric 体验之间的所有通信都将通过 Microsoft 主干互联网传输。 静态数据会自动以加密方式存储。 要规范对 Fabric 的访问,可以添加额外的安全功能,例如专用链接Entra 条件访问。 Fabric 还可以通过受信任的访问连接到受防火墙或专用网络保护的数据。

  • 合规性 - Fabric 提供具有多地理位置容量的标准数据主权。 Fabric 还支持广泛的合规性标准。

  • 可治理 - Fabric 附带一系列的治理工具,例如数据世系信息保护标签数据丢失防护purview 集成等。

  • 可配置 – 可以依照组织策略配置 Fabric 安全性。

  • 不断发展 – Microsoft 通过添加新功能和控制措施不断改进其 Fabric 的安全性。

Authenticate

与许多其他 Microsoft 服务(例如 Azure、Microsoft Office、OneDrive 和 Dynamics)一样,Microsoft Fabric 也是一个 SaaS 平台。 所有这些 Microsoft SaaS 服务(包括 Fabric)都使用 Microsoft Entra ID 作为其基于云的标识提供者。 Microsoft Entra ID 可帮助用户从任何设备和任何网络快速轻松地连接到这些服务。 每个连接到 Fabric 的请求都通过 Microsoft Entra ID 进行身份验证,从而使用户可以在公司办公室、在家工作或从远程位置安全地连接到 Fabric。

理解网络安全性

Fabric 是在 Microsoft 云中运行的 SaaS 服务。 某些应用场景涉及连接到 Fabric 平台外部的数据。 例如,从自己的网络查看报表或连接到另一个服务中的数据。 Fabric 内的交互使用 Microsoft 内部网络,默认情况下,服务外部的流量受到保护。 有关详细信息和详细说明,请参阅传输中的数据

入站网络安全

组织可能希望根据公司要求限制和保护进入 Fabric 的网络流量。 使用 Microsoft Entra ID 条件访问专用链接,可以为组织选择正确的入站解决方案

Microsoft Entra ID 条件访问

Microsoft Entra ID 为 Fabric 提供了条件访问功能,从而可以通过每个连接安全地访问数据。 下面是可以使用“条件访问”强制执行的访问限制的示例。

  • 定义用于 Fabric 入站连接的 IP 列表。

  • 使用多重身份验证 (MFA)。

  • 根据来源国家/地区或设备类型等参数限制流量。

要配置条件访问,请参阅 Fabric 中的条件访问

若要详细了解 Fabric 中的身份验证,请参阅 Microsoft Fabric 安全基础知识

专用链接通过将访问权限仅授予来自某个 Azure 虚拟网络 (VNet) 的 Fabric 租户,并阻止所有公共访问,从而安全连接到 Fabric。 这可确保仅允许来自该 VNet 的网络流量访问租户中的笔记本湖屋数据仓库数据库等 Fabric 功能。

要在 Fabric 中配置专用链接,请参阅设置和使用专用链接

出站网络安全

Fabric 拥有一组工具,可用于连接到外部数据源并以安全的方式将该数据引入 Fabric。 本节列出了将数据从安全网络导入并连接到结构的不同方法。

受信任工作区访问权限

借助 Fabric 可以安全地访问启用了防火墙的 Azure 数据湖 Gen 2 帐户。 具有工作区标识的 Fabric 工作区可以安全地从选定的虚拟网络和 IP 地址访问启用了公共网络访问的 Azure 数据湖 Gen 2 帐户。 可以限制 ADLS gen 2 对特定 Fabric 工作区的访问权限。 有关详细信息,请参阅受信任工作区访问权限

注意

Fabric 工作区标识只能在与 Fabric F SKU 容量关联的工作区中创建。 有关购买 Fabric 订阅的信息,请参阅购买 Microsoft Fabric 订阅

托管专用终结点

托管专用终结点可实现对 Azure SQL 数据库等数据源的安全连接,同时无需将其公开到公用网络,也不需要复杂的网络配置。

托管虚拟网络

托管虚拟网络是 Microsoft Fabric 为每个 Fabric 工作区创建和管理的虚拟网络。 托管虚拟网络为 Fabric Spark 工作负载提供网络隔离,这意味着计算群集部署在专用网络中,不再是共享虚拟网络的一部分。

托管虚拟网络还启用网络安全功能,例如托管专用终结点,以及对使用 Apache Spark 的 Microsoft Fabric 中,数据工程师和数据科学项目的专用链接支持。

数据网关

要连接到本地数据源,或者可能受防火墙或虚拟网络保护的本地数据源,可以使用以下选项中的一种:

  • 本地数据网关 - 网关充当本地数据源和 Fabric 之间的桥梁。 网关安装在网络内的服务器上,并且允许 Fabric 通过安全通道连接到数据源,而无需打开端口或更改网络。

  • 虚拟网络 (VNet) 数据网关 - VNet 网关让你可以从 Microsoft 云服务连接到 VNet 内的 Azure 数据服务,而无需本地数据网关。

从现有服务连接到 OneLake

可以使用现有的 Azure 平台即服务 (PaaS) 服务连接到 Fabric。 对于 Synapse 和 Azure 数据工厂 (ADF),可以使用 Azure Integration Runtime (IR)Azure 数据工厂托管的虚拟网络。 还可以使用 OneLake API 连接到这些服务和其他服务,如映射数据流、Synapse Spark 群集、Databricks Spark 群集和 Azure HDInsight。

Azure 服务标记

使用服务标记可从 Azure 虚拟网络中部署的数据源(例如 Azure SQL 虚拟机 (VM)、Azure SQL 托管实例 (MI) 和 REST API)引入数据,无需使用数据网关。 还可以使用服务标记从虚拟网络或 Azure 防火墙获取流量。 例如,服务标记可以允许出站流量流向 Fabric,以便虚拟机上的用户可以从 SSMS 连接到 Fabric SQL 连接字符串,同时阻止其访问其他公共互联网资源。

IP 允许列表

如果数据不驻留在 Azure 中,则可以在组织的网络上启用 IP 允许列表,以允许流量进出 Fabric。 如果需要从不支持服务标记的数据源(如本地数据源)获取数据,则 IP 允许列表会非常有用。 有了这些快捷方式后,无需使用湖屋 SQL 分析终结点Direct Lake 将数据复制到 OneLake 即可获取数据。

可以从本地服务标记获取 Fabric IP 列表。 该列表以 JSON 文件的形式提供,也可以通过 REST API、PowerShell 和 Azure 命令行接口 (CLI) 以编程方式提供。

保护数据

在 Fabric 中,存储在 OneLake 中的所有数据都是静态加密的。 所有静态数据都存储在本地区域或所选远程区域的某个容量中,使你能够满足静态数据主权法规。 有关详细信息,请参阅 Microsoft Fabric 安全基础知识

了解多个地理位置的租户

许多组织的业务遍布全球,需要在多个 Azure 地理位置中使用服务。 例如,一家公司的总部可能在美国,但也会在其他地理区域开展业务,例如澳大利亚。 为了遵守当地法规,业务遍布全球的企业需要确保数据始终静态存储在多个区域。 在 Fabric 中,这称为“多地理位置”。

分配给多地理位置工作区的查询执行层、查询缓存和项目数据托管并保留在远程容量 Azure 地理位置中。 但是,某些元数据和处理会静态存储在租户的主地理位置中。

Fabric 是更大的 Microsoft 生态系统的一部分。 如果组织已经在使用其他云订阅服务(例如 Azure、Microsoft 365 或 Dynamics 365),Fabric 将在同一 Microsoft Entra 租户中运行。 组织域(例如 contoso.com)与 Microsoft Entra ID 相关联。 与所有 Microsoft 云服务一样。

当使用在多个地理位置具有多个容量的多个租户时,Fabric 可确保数据的跨区域安全。

访问数据

Fabric 通过工作区控制数据访问。 在工作区中,数据以 Fabric 项的形式显示,除非授予用户对工作区的访问权限,否则用户无法查看或使用项(数据)。 有关工作区和项权限的详细信息,请参阅权限模型

工作区角色

下表中列出了工作区访问权限。 它包括工作区角色Fabric 和 OneLake 安全性。 拥有查看者角色的用户可以运行 SQL、Data Analysis Expressions (DAX) 或多维表达式 (MDX) 查询,但不能访问 Fabric 项或运行笔记本

角色 工作区访问权限 OneLake 访问权限
管理员、成员、参与者 可以使用工作区中的所有项
查看器 可以查看工作区中的所有项

共享项

你可以与组织中没有任何工作区角色的用户共享 Fabric 项。 共享项提供受限访问权限,只允许用户访问工作区中的共享项。

限制访问

可以使用行级别安全性 (RLS)列级别安全性 (CLS)对象级安全性 (OLS) 限制查看者对数据的访问。 使用 RLS、CLS 和 OLS,可以创建有权访问特定部分数据的用户标识,并限制 SQL 结果仅返回用户标识可以访问的内容。

还可以将 RLS 添加到 DirectLake 数据集。 如果同时为 SQL 和 DAX 定义了安全性,对于在 SQL 中具有 RLS 的表,DirectLake 会退回到 DirectQuery。 在这种情况下,DAX 或 MDX 结果仅限于用户标识。

若要在不使用 DirectQuery 回退的情况下使用具有 RLS 的 DirectLake 数据集公开报表,请使用直接数据集共享或 Power BI 中的应用。 通过 Power BI 中的应用,无需查看者访问权限即可访问报表。 此类访问意味着用户无法使用 SQL。 若要使 DirectLake 能够读取数据,需要将数据源凭证从单一登录 (SSO) 切换到有权访问湖中文件的固定标识。

保护数据

Fabric 支持 Microsoft Purview 信息保护中的敏感度标签。 这些标签已在 Word、PowerPoint 和 Excel 等 Microsoft Office 应用中广泛用来保护敏感信息,例如“常规”、“机密”和“高度机密”等。 在 Fabric 中也可以使用这些敏感度标签对包含敏感数据的数据项进行分类。 然后在数据通过 Fabric 在数据项之间流动时,敏感度标签会自动跟随数据流动,涵盖从数据源到商务用户的整个过程。 甚至在将数据导出到支持的格式(如 PBIX、Excel、PowerPoint 和 PDF)时,敏感度标签也会同样导出,确保数据始终受到保护。 只有授权用户才能打开该文件。 有关详细信息,请参阅 Microsoft Fabric 治理和合规性

为了帮助你治理、保护和管理数据,可以使用 Microsoft Purview。 Microsoft Purview 和 Fabric 协同工作,让你可以从单个位置(Microsoft Purview 中心)存储、分析和管理数据。

恢复数据

Fabric 数据复原能力可确保数据在发生灾难时可用。 通过 Fabric,还可以在发生灾难时恢复数据,即进行灾难恢复。 有关详细信息,请参阅 Microsoft Fabric 中的可靠性

管理 Fabric

作为 Fabric 中的管理员,你可以控制适用于整个组织的功能。 借助 Fabric,你能够将管理员角色委派到容量、工作区和域。 通过将管理职责委派给正确的人员,你可以实施一个模型,让多个关键管理员控制整个组织的常规 Fabric 设置,其他管理员则负责与特定区域相关的设置。

通过使用各种工具,管理员还可以监视容量消耗等关键 Fabric 方面。

审核日志

若要查看审核日志,请按照跟踪 Microsoft Fabric 中的用户活动中的说明进行操作。 还可以参考操作列表,查看哪些活动可用于在审核日志中搜索。

功能

查看本部分以获取 Microsoft Fabric 中部分可用的安全功能列表。

功能 说明
条件性访问 使用 Microsoft Entra ID 保护应用
密码箱 控制 Microsoft 工程师访问数据的方式
Fabric 和 OneLake 安全性 了解如何保护 Fabric 和 OneLake 中的数据。
复原能力 Azure 可用性区域的可靠性和区域复原能力
服务标记 启用 Azure SQL 托管实例 (MI) 以允许来自 Microsoft Fabric 的传入连接