Microsoft Fabric 安全性基本概念
本文藉由描述系統中主要安全性流程的運作方式,説明 Microsoft Fabric 安全性結構的整體思維。 它也會說明使用者如何使用 Fabric 進行驗證、如何建立資料連線,以及 Fabric 如何透過服務儲存和移動資料。
本文主要針對 Fabric 系統管理員,他們負責監督組織中的 Fabric。 它也與企業安全性利害關係人相關,包括安全性系統管理員、網路系統管理員、Azure 系統管理員、工作區管理員和資料庫管理員。
Fabric 平台
Microsoft Fabric 是一個全方位分析解決方案,適用於涵蓋項目從資料移動到資料科學、即時分析和商業智慧 (BI) 的企業。 Fabric 平台包含一系列服務和基礎結構元件,可支援所有 Fabric 體驗的通用功能。 各元件組合在一起,提供一組全面性的分析體驗,旨在順暢無礙地共同作業。 體驗包括 Lakehouse、Data Factory、Fabric 資料工程師 ing、網狀架構數據倉儲、Power BI 等。
使用 Fabric 時,您不需要將多個廠商的不同服務拼湊在一起。 相反地,您可以享用高度整合、端對端且易於使用的產品,其設計訴求是要簡化分析需求。 Fabric 一開始就是為保護敏感性資產而設計。
Fabric 平台是以軟體即服務 (SaaS) 為基礎所建置,可提供可靠性、簡單性和可擴縮性。 其建置在 Azure 上,這是 Microsoft 公用雲端運算平台。 傳統上,許多資料產品都是平台即服務 (PaaS),要求服務的系統管理員為每個服務設定安全性、合規性和治理。 因為 Fabric 是 SaaS 服務,因此許多功能都是內建在 SaaS 平台中,而且不需要設定或只需極少設定。
架構圖表
下方結構圖顯示 Fabric 安全性架構的概要表示。
此結構圖表描述下列概念。
使用者會使用瀏覽器或用戶端應用程式 (例如 Power BI Desktop) 來連線到 Fabric 服務。
驗證是由 Microsoft Entra ID 來處理,其先前名為 Azure Active Directory,是雲端式身分識別和存取權管理服務,可驗證使用者或服務主體,並管理 Fabric 的存取。
Web 前端會接收使用者要求,並協助登入。 它也會路由要求,並提供前端內容給使用者。
中繼資料平台會儲存租用戶中繼資料,其中包含客戶資料。 Fabric 服務會視需要查詢此平台,以擷取授權資訊,以及授權和驗證使用者要求。 其位於租用戶主區域。
後端容量平台負責計算作業和儲存客戶資料,且其位於容量區域中。 它會視需要利用該區域中的 Azure 核心服務,以取得特定 Fabric 體驗。
Fabric 平台基礎結構服務是多組織用戶共享。 租用戶之間有邏輯隔離。 這些服務不會處理複雜的使用者輸入,而且全都以受控程式碼撰寫。 平台服務永遠不會執行任何使用者撰寫的程序碼。
中繼資料平台和後端容量平台都會在安全的虛擬網路中執行。 這些網路會向網際網路公開一系列安全端點,以便接收來自客戶和其他服務的要求。 除了這些端點之外,服務也受到網路安全性規則的保護,這些規則會封鎖來自公用網際網路的存取。 虛擬網路內的通訊也會根據每個內部服務的權限來限制。
應用程式層可確保租用戶只能存取自己的租用戶中的資料。
驗證
Fabric 依賴 Microsoft Entra ID 來驗證使用者 (或服務主體)。 驗證後,使用者從 Microsoft Entra ID 接收存取權杖。 Fabric 使用這些權杖在用戶的內容中執行作業。
條件式存取是 Microsoft Entra ID 的一項重要功能。 條件式存取可藉由強制執行多重要素驗證來確保租用戶安全,只允許 Microsoft Intune 註冊的裝置存取特定服務。 條件式存取也會限制使用者位置和 IP 範圍。
授權
所有 Fabric 權限都會由中繼資料平台集中儲存。 Fabric 服務會視需要查詢中繼資料,以擷取授權資訊,以及授權和驗證使用者要求。
基於效能考慮,Fabric 有時會將授權資訊封裝到已簽署的權杖中。 已簽署的權杖只會由後端容量平台發出,其包含存取權杖、授權資訊和其他中繼資料。
資料落地
在 Fabric 中,租用戶會指派給主中繼資料平台叢集,該叢集位於符合該區域地理位置資料落地需求的單一區域中。 租用戶中繼資料可以包含客戶資料,會儲存在此叢集中。
客戶可以控制其工作區所在的位置。 他們可以選擇在與中繼資料平台叢集相同的地理位置中尋找工作區,方法是明確將工作區指派給該區域中的容量,或使用 Fabric 試用版、Power BI Pro 或 Power BI Premium Per User 授權模式隱式指派。 在後者的情況下,所有客戶資料都會儲存在此單一地理位置中並於此處理。 如需詳細資訊,請參閱 Microsoft Fabric 概念和授權。
客戶也可以建立位於其主區域以外的地理位置 (地區) 的多地理位置容量。 在此情況下,計算和儲存體 (包括 OneLake 和體驗特定儲存體) 位於多地理位置區域中,不過租用戶中繼資料會保留在主區域中。 客戶資料只會儲存在這兩個地理位置並在此處理。 如需更多資訊,請參閱設定 Fabric 的多地理位置支援。
資料處理
本節提供在 Fabric 中資料處理運作方式的概觀。 它描述客戶資料的儲存、處理和移動。
待用資料
所有 Fabric 資料存放區都會使用 Microsoft 管理的金鑰進行待用加密。 Fabric 資料包括客戶資料,以及系統資料和中繼資料。
雖然資料可以在未加密狀態的記憶體中處理,但在未加密狀態,絕不會保存至永久儲存體。
傳輸中資料
Microsoft 服務之間的傳輸中的資料一律會以至少 TLS 1.2 加密。 Fabric 會盡可能商定 TLS 1.3。 Microsoft 服務之間的流量一律會透過 Microsoft 全域網路路由傳送。
連入 Fabric 通訊也會強制執行 TLS 1.2,並盡可能使用 TLS 1.3。 不支援較新的通訊協定時,對客戶擁有基礎結構的輸出 Fabric 通訊偏好安全通訊協定,但可能會回復為較舊的不安全通訊協定 (包括 TLS 1.0)。
遙測
遙測可用來維護 Fabric 平台的效能和可靠性。 Fabric 平台遙測存放區的設計目的是要符合 Fabric 可用之所有區域中 (包括歐盟 (EU)) 客戶的資料和隱私權法規。 如需詳細資訊,請參閱 EU 資料邊界服務。
OneLake
OneLake 是整個組織的單一、統一、邏輯資料湖,會自動為每個 Fabric 租用戶佈建。 其建置在 Azure 上,而且可以儲存任何類型的檔案,無論其為結構化還是非結構化。 此外,所有 Fabric 項目,例如倉儲和 Lakehouse,都會自動將其資料儲存在 OneLake 中。
OneLake 支援相同的 Azure Data Lake Storage Gen2 (ADLS Gen2) API 和 SDK,因此它與現有的 ADLS Gen2 應用程式相容,包括 Azure Databricks。
如需詳細資訊,請參閱 Fabric 和 OneLake 安全性。
工作區安全性
工作區代表儲存在 OneLake 中的資料的主要安全性邊界。 每個工作區代表單一網域或專案區域,團隊可在其中進行資料協作。 您可以將使用者指派給工作區角色,以管理工作區中的安全性。
如需詳細資訊,請參閱 Fabric 和 OneLake 安全性 (工作區安全性)。
項目安全性
在工作區中,您可以直接將權限指派給 Fabric 項目,例如倉儲和 Lakehouses。 項目安全性可讓您彈性地授與個別 Fabric 項目的存取權,而不授與整個工作區的存取權。 用戶可以藉由共享項目或管理項目的權限來設定每個項目的權限。
合規資源
Fabric 服務受 Microsoft Online Services 條款和 Microsoft Enterprise 隱私權聲明控管。
如需資料處理的位置,請參閱 Microsoft Online Services 條款中的資料處理位置條款,以及資料保護增補合約。
Microsoft 信任中心是 Fabric 有關合規性資訊的主要資源。 如需合規性的詳細資訊,請參閱 Microsoft 合規性供應項目。
Fabric 服務遵循安全性開發生命週期 (SDL),其中包含一組嚴格的安全性做法,支援安全性保證與合規性需求。 SDL 可藉由降低軟體中弱點的數目和嚴重性來協助開發人員建置更安全的軟體,同時降低開發成本。 如需詳細資訊,請參閱 Microsoft 安全性開發生命週期做法。
相關內容
如需有關 Fabric 安全性的詳細資訊,請參閱下列資源。