Microsoft Fabric 端對端安全性案例
安全性是任何資料分析解決方案的重要層面,特別是涉及敏感或保密資料時。 因此,Microsoft Fabric 提供一組完整的安全性功能,可讓您保護待用資料和傳輸中的資料,以及控制使用者和應用程式的存取和權限。
在本文中,您將了解 Fabric 安全性概念和功能,它們可協助您自信地使用 Fabric 建置自己的分析解決方案。
背景
本文展示了這樣一個場景,您是在美國某醫療保健組織工作的資料工程師。 組織會收集和分析來自各種系統的病患資料,包括電子健康記錄、實驗室結果、保險索賠和可穿戴裝置。
您計劃使用 Fabric 中的獎牌架構來建置 Lakehouse,其中包含三層:銅、銀和金。
- 銅層會儲存來自資料來源的未經處理資料。
- 銀層會套用資料品質檢查和轉換,以準備資料進行分析。
- 金層提供彙總且擴充的資料以便報告和視覺化。
雖然某些資料來源位於內部部署網路上,但其他資料來源位於防火牆後方,且需要安全且經過驗證的存取權。 也有一些資料來源在 Azure 中進行管理,例如 Azure SQL 資料庫和 Azure 儲存體。 您需要以不會向公用網際網路公開資料的方式連線到這些 Azure 資料來源。
您已決定使用 Fabric,因為它可以安全地內嵌、儲存、處理和分析雲端中的資料。 重要的是,它這樣做的同時符合產業法規和組織原則。
因為 Fabric 是軟體即服務 (SaaS),因此您不需要佈建個別資源,例如儲存體或計算資源。 您需要的是 Fabric 容量。
您必須設定資料存取需求。 具體來說,您必須確保只有您和資料工程師才能存取 Lakehouse 銅層和銀層中的資料。 這些層是您計劃執行資料清理、驗證、轉換和擴充的位置。 您也需要限制存取黃金層中的資料。 只有經授權的使用者,包括資料分析師和商務使用者,才能存取金層。 它們需要此存取權,才能將資料用於各種分析用途,例如報告、機器學習和預測性分析。 使用者的角色和部門需要進一步限制資料存取。
連接到 Fabric (入站保護)
您必須先設定入站保護,這與您和其他使用者如何登入及存取 Fabric 有關。
因為 Fabric 會部署至 Microsoft Entra 租用戶,由 Microsoft Entra 來處理驗證和授權。 使用 Microsoft Entra 組織帳戶 (公司或學校帳戶) 登入。 接下來,您會考慮其他使用者如何連線到 Fabric。
Microsoft Entra 租用戶是由 IT 部門控制的身分識別安全性界限。 在此安全性界限內,Microsoft Entra 物件 (例如使用者帳戶) 的管理和全租用戶設定的配置由 IT 系統管理員完成。 如同任何 SaaS 服務一樣,Fabric 會以邏輯方式隔離租用戶。 其他租用戶永遠不能存取您的租用戶中的資料和資源,除非您明確授權他們這樣做。
以下是使用者登入 Fabric 時會發生的事情。
| 項目 | 說明 |
|---|---|
|
使用者開啟瀏覽器 (或用戶端應用程式) 並登入 Fabric 入口網站。 |
|
使用者會立即重新導向至 Microsoft Entra ID,而且需要他們進行驗證。 驗證可確認這是正確的人員登入。 |
|
驗證成功之後,Web 前端會收到使用者的要求,並從最接近的位置傳遞前端 (HTML 和 CSS) 內容。 它也會將要求傳送至中繼資料平台和後端容量平台。 |
|
位於租用戶主區域的中繼資料平台會儲存租用戶的中繼資料,例如工作區和存取控制。 此平台可確保使用者經過授權,可存取相關工作區和 Fabric 項目。 |
|
後端容量平台會執行計算操作,並儲存您的資料。 它位於容量區域中。 當工作區指派給 Fabric 容量時,會在容量區域中儲存並處理工作區中的所有資料,包括資料湖 OneLake。 |
中繼資料平台和後端容量平台都會在安全的虛擬網路中執行。 這些網路會向網際網路公開一系列安全端點,以便接收來自使用者和其他服務的要求。 除了這些端點之外,服務也受到網路安全性規則的保護,這些規則會封鎖來自公用網際網路的存取。
當使用者登入 Fabric 時,您可以強制執行其他保護層。 如此一來,只有在滿足諸如網路位置和裝置合規性等其他條件時,特定使用者才能存取您的租用戶。 這一層保護稱為入站保護。
在此案例中,您負責保護 Fabric 中的敏感性病患資訊。 因此,您的組織已要求可存取 Fabric 的所有使用者都必須執行多重要素驗證 (MFA),而且他們必須位於公司網路上,只是保護使用者身分是不夠的。
貴組織也為使用者提供了靈活性,他們可隨時隨地工作並使用其個人裝置。 因為 Microsoft Intune 支援攜帶您自己的裝置 (BYOD),因此您在 Intune 中註冊已核准的使用者裝置。
此外,您必須確保這些裝置符合組織原則。 具體而言,這些原則要求裝置只能在安裝最新的作業系統和最新的安全性修補程式後進行連線。 您可以使用 Microsoft Entra 條件式存取來設定這些安全性需求。
條件式存取提供數種方法來保護租用戶。 您可以:
如果您需要鎖定整個 Fabric 租用戶,可以使用虛擬網路並封鎖公用網際網路存取。 然後只能從安全的虛擬網路中存取 Fabric。 若要設定此需求,請在 Fabric 的租用戶層級啟用私人連結。 它可確保所有 Fabric 端點都會解析為虛擬網路中的私人 IP 位址,包括存取所有 Power BI 報表。 (啟用私人端點會對許多 Fabric 項目造成影響,因此您應該先仔細閱讀本文,然後再啟用它們。)
保護對 Fabric 外部資料的存取 (出站保護)
接下來,您會設定出站保護,這與在防火牆或私人端點後方安全地存取資料有關。
您的組織有一些位於內部部署網路上的資料來源。 由於這些資料來源位於防火牆後方,因此 Fabric 需要安全存取。 若要讓 Fabric 安全地連線到內部部署資料來源,您可以安裝內部部署的資料閘道。
資料處理站資料流程和資料管線可以使用閘道來內嵌、準備及轉換內部部署資料,然後透過複製活動將其載入 OneLake。 資料處理站支援一組完整的連接器,可讓您連線到 100 多個不同的資料存放區。
然後,您可以使用 Power Query 建置資料流程,以提供低程式碼介面的直觀體驗。 您可以使用它從資料來源擷取資料,並使用任何 300 個以上的資料轉換加以轉換。 接著,可以使用資料管線來建置及協調複雜的擷取、轉換和載入 (ETL) 程序。 ETL 程序可以重新整理資料流程,並大規模執行許多不同的工作,處理數 PB 的資料。
在此案例中,您已經有多個 ETL 程序。 首先,您在 Azure Data Factory (ADF) 中擁有一些管線。 目前,這些管線會內嵌您的內部部署資料,並使用自我裝載整合執行階段,將其載入 Azure 儲存體中的資料湖。 其次,您在 Azure Databricks 中具有以 Spark 撰寫的資料擷取架構。
既然您使用 Fabric,只需重新導向 ADF 管線的輸出目的地,以使用 lakehouse 連接器。 此外,針對 Azure Databricks 中的擷取架構,您可以使用支援 Azure Blog Filesystem (ABFS) 驅動程式的 OneLake API 來整合 OneLake 與 Azure Databricks。 (也可以利用相同的方法,透過使用 Apache Spark 來整合 OneLake 與 Azure Synapse Analytics。)
您也有一些資料來源位於 Azure SQL 資料庫。 您必須使用私人端點連線到這些資料來源。 在這種情況下,您決定設定虛擬網路 (VNet) 資料閘道,並使用資料流程安全地連線到您的 Azure 資料,並將其載入 Fabric。 使用 VNet 資料閘道時,您不需要佈建和管理基礎結構 (您需要針對內部部署的資料閘道執行此動作)。 這是因為 Fabric 會安全且動態地在 Azure 虛擬網路中建立容器。
如果您要在 Spark 中開發或移轉資料擷取架構,則可以在受控私人端點的協助下,從 Fabric 筆記本和工作中安全且私人地連線到 Azure 中的資料來源。 可以在 Fabric 工作區中建立受控私人端點,以連線到已封鎖公用網際網路存取的 Azure 中的資料來源。 它們支援私人端點,例如 Azure SQL 資料庫和 Azure 儲存體。 會在專用於 Fabric 工作區的受控 VNet 中佈建和管理受控私人端點。 不同於一般的 Azure 虛擬網路,在 Azure 入口網站中找不到受控 VNet 和受控私人端點。 這是因為它們完全由 Fabric 管理,您可以在工作區設定中找到它們。
因為您已經有大量的資料儲存在 Azure Data Lake Storage (ADLS) Gen2 帳戶中,所以現在只需要將 Spark 和 Power BI 等 Fabric 工作負載連線到它。 此外,由於 OneLake ADLS 捷徑,您可以輕鬆地從任何 Fabric 體驗連線到現有資料,例如資料整合式管線、資料工程筆記本和 Power BI 報告。
具有工作區身分的 Fabric 工作區可以安全地存取 ADLS Gen2 儲存體帳戶,即使您已停用公用網路。 這可透過受信任的工作區存取來實現。 它可讓 Fabric 透過使用 Microsoft 骨幹網路安全地連線到儲存體帳戶。 這表示通訊不會使用公用網際網路,這可讓您停用儲存體帳戶的公用網路存取,但仍允許某些 Fabric 工作區連線到它們。
法規遵循
您想要使用 Fabric 安全地內嵌、儲存、處理及分析雲端中的資料,同時維持您產業法規與組織原則的合規性。
Fabric 屬於 Microsoft Azure 核心服務,它受 Microsoft Online Services 條款和 Microsoft 企業隱私權聲明控管。 雖然認證通常會在產品推出之後發生 (正式發行或 GA),但 Microsoft 會從一開始和在整個開發生命週期中整合合規性最佳做法。 此主動式方法可為未來認證打下堅實基礎,即使它們遵循已建立的稽核週期。 簡而言之,我們從一開始就優先考慮建立合規性,即使稍後會進行正式認證。
Fabric 符合許多業界標準,例如 ISO 27001、27017、27018 和 27701。 Fabric 也符合 HIPAA,這對醫療保健資料隱私權和安全性至關重要。 您可以在 Microsoft Azure 合規性供應項目中查看附錄 A 和 B,以深入了解哪些雲端服務在認證範圍內。 也可以從服務信任入口網站 (STP) 存取稽核文件。
合規性是共同責任。 為了遵守法令規定,雲端服務提供者及其客戶會承擔共同責任,以確保各自盡到自己的責任。 當您考量並評估公用雲端服務時,請務必了解共同責任模型,以及雲端提供者應處理的安全性工作和您應處理的工作。
資料處理
由於您正在處理敏感性病患資訊,因此必須確保所有資料在待用和傳輸中都得到充分保護。
待用加密可為儲存的資料 (待用) 提供資料保護。 對待用資料的攻擊包括嘗試在儲存資料的硬體上取得實際存取權,然後盜用該硬體中的資料。 靜態加密旨在防止攻擊者存取未加密的資料,方法是確保資料在磁碟上時就已加密。 待用加密是遵守一些業界標準和法規所需的強制性措施,例如國際標準組織 (ISO) 和健康保險流通與責任法案 (HIPAA)。
使用由 Microsoft 管理的密鑰對所有 Fabric 資料存放區進行靜態加密,以保護客戶資料和系統資料及中繼資料。 在未加密狀態時,資料永遠不會保存至永久儲存體。 透過 Microsoft 管理的金鑰,您可以受益於待用資料的加密,而無需承擔自訂金鑰管理解決方案的風險或成本。
資料在傳輸中也會被加密。 來自用戶端系統之 Fabric 端點的所有傳入流量都會強制執行最低傳輸層安全性 (TLS) 1.2。 它也會盡可能商定 TLS 1.3。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及輕鬆部署和使用。
除了加密之外,Microsoft 服務之間的網路流量一律會透過 Microsoft 全球網路進行傳送,這是世界上最大的骨幹網路之一。
客戶自控金鑰 (CMK) 加密和 Microsoft Fabric
客戶自控金鑰 (CMK) 可讓您使用自己的金鑰來加密待用資料。 根據預設,Microsoft Fabric 會使用平台代控金鑰來加密待用資料。 在此模型中,Microsoft 負責確保使用其金鑰來加密 OneLake 中金鑰管理和待用資料的所有層面。 從合規性角度來看,客戶可能需要使用 CMK 來加密待用資料。 在 CMK 模型中,客戶會完全控制金鑰,並使用其金鑰來加密待用資料。
如果您需要使用 CMK 來加密待用資料,建議您搭配使用雲端儲存體服務 (ADLS Gen2、AWS S3、CS) 和已啟用的 CMK 加密,並使用 OneLake 捷徑從 Microsoft Fabric 中存取資料。 在此模式中,資料會繼續位於雲端儲存體服務或外部儲存體解決方案中,其中會啟用使用 CMK 的靜態加密,而且您可以在符合規範的同時,從 Fabric 中執行就地讀取操作。 建立捷徑之後,其他 Fabric 體驗即可在 Fabric 內存取資料。
使用此模式有一些注意事項:
- 對於需要使用 CMK 進行靜態加密的資料,可使用這裡所討論的模式。 沒有此需求的資料可以使用平台代控金鑰進行靜態加密,且該資料可以原生儲存在 Microsoft Fabric OneLake 中。
- Fabric Lakehouse 和 KQL 資料庫是 Microsoft Fabric 內的兩個工作負載,它們支援建立捷徑。 在此模式中,資料繼續位於已啟用 CMK 的外部儲存體服務中,您可以使用 Lakehouses 和 KQL 資料庫中的捷徑,將資料帶入 Microsoft Fabric 進行分析,但資料實際儲存在啟用 CMK 加密的 OneLake 外部。
- ADLS Gen2 捷徑支援寫入和使用此捷徑類型,您也可以將資料寫回儲存體服務,並使用 CMK 進行靜態加密。 搭配 ADLS Gen2 使用 CMK 時,請遵循 Azure Key Vault (AKV) 和 Azure 儲存體的下列考量。
- 如果您使用與 AWS S3 相容的第三方儲存體解決方案 (Cloudflare、具有公用端點的 Qumolo Core、具有公用端點的公用 MinIO 和 Dell ECS),而且已啟用 CMK,則本文件中討論的模式可以延伸至這些第三方儲存體解決方案。 使用 Amazon S3 相容的捷徑,您可以使用這些解決方案的捷徑將資料帶入 Fabric。 與雲端式儲存體服務一樣,您可以使用 CMK 加密將資料儲存在外部儲存體上,並執行就地讀取操作。
- AWS S3 支援使用客戶自控金鑰進行靜態加密。 Fabric 可使用 S3 捷徑在 S3 貯體上執行就地讀取;不過,不支援使用 AWS S3 捷徑的寫入操作。
- Google 雲端儲存支援使用客戶自控金鑰進行資料加密。 Fabric 可在 GCS 上執行就地讀取;不過,不支援使用 GCS 捷徑的寫入操作。
- 啟用 Microsoft Fabric 的稽核,以追蹤活動。
- 在 Microsoft Fabric 中,Power BI 支援客戶自控密鑰,為 Power BI自備加密金鑰。
- 停用 S3、GCS 和 S3 相容捷徑的捷徑快取功能。 當快取資料保存在 OneLake 中時。
資料落地
當您處理病患資料時,基於合規性原因,貴組織已規定資料絕不應離開美國地理邊界。 貴組織的主要操作發生在紐約和西雅圖的總部。 設定 Power BI 時,貴組織已選擇美國東部區域作為租用戶主區域。 針對您的操作,您已在美國西部區域建立 Fabric 容量,其更接近您的資料來源。 由於 OneLake 遍佈全球,因此您擔心在使用 Fabric 時是否符合組織的資料落地原則。
在 Fabric 中,您會了解您可以建立多地理位置容量,這些容量位於租用戶主區域以外的地理位置。 您可以將 Fabric 工作區指派給這些容量。 在此情況下,工作區中所有項目的計算和儲存 (包括 OneLake 和體驗特定儲存) 都位於多地理位置區域中,而您的租用戶中繼資料則保留在主區域中。 只會在這兩個地理位置儲存並處理您的資料,從而確保符合貴組織的資料落地需求。
存取控制
您必須確保只有您和資料工程師才能完整存取 Lakehouse 銅層和銀層中的資料。 這些層允許您執行資料清理、驗證、轉換和擴充。 您必須將黃金層中的資料存取限制為僅限經授權的使用者,例如資料分析師和商務使用者,他們可以將資料用於各種分析用途,例如報告和分析。
Fabric 提供靈活的權限模型,可讓您控制工作區中項目和資料的存取。 工作區是在 Fabric 中對項目進行分組的安全邏輯實體。 可以使用工作區角色來控制工作區中項目的存取權。 工作區的四個基本角色如下:
- 管理員:可以檢視、修改、共用和管理工作區中的所有內容,包括管理權限。
- 成員:可以檢視、修改及共用工作區中的所有內容。
- 參與者:可以檢視和修改工作區中的所有內容。
- 檢視人員:可以檢視工作區中的所有內容,但無法加以修改。
在此案例中,您會建立三個工作區,每個獎章層級各一個 (銅、銀和金)。 由於您已建立工作區,因此會自動為您指派系統管理員角色。
然後,您會將安全性群組新增至這三個工作區的參與者角色。 由於安全性群組包含您的同僚工程師作為成員,因此他們可以在這些工作區中建立和修改 Fabric 項目,不過他們無法與其他人共用任何項目。 他們也不可以將存取權授與其他使用者。
在銅級和銀級工作區中,您和工程師會建立 Fabric 項目來內嵌資料、儲存資料以及處理資料。 Fabric 項目包含 Lakehouse、管線和筆記本。 在黃金工作區中,您會建立兩個 Lakehouse、多個管線和筆記本,以及一個 Direct Lake 語意模型,以提供儲存在其中一個 Lakehouse 中的資料快速查詢效能。
然後,請仔細考慮資料分析師和商務使用者如何存取允許他們存取的資料。 具體而言,他們只能存取與其角色和部門相關的資料。
第一個 Lakehouse 包含實際資料,且不會在其 SQL 分析端點中強制執行任何資料權限。 第二個 Lakehouse 包含第一個 Lakehouse 的捷徑,它會在其 SQL 分析端點中強制執行細微的資料權限。 語意模型會連線到第一個 Lakehouse。 若要為使用者強制執行適當的資料權限 (因此他們只能存取與其角色和部門相關的資料),您不會與使用者共用第一個 Lakehouse。 相反,您只會共用 Direct Lake 語意模型以及在其 SQL 分析端點中強制執行資料權限的第二個 Lakehouse。
可以設定語意模型來使用固定身分,然後在語意模型中實作列層級安全性 (RLS),以強制執行模型規則,從而控管使用者可以存取的資料。 然後,您只會與資料分析師和商務使用者共用語意模型,因為他們不應該存取工作區中的其他項目,例如管線和筆記本。 最後,您會授與語意模型的建置權限,讓使用者可以建立 Power BI 報告。 如此一來,語意模型就會成為其 Power BI 報告的共用語意模型和來源。
您的資料分析師需要存取黃金工作區中的第二個 Lakehouse。 他們會連線到該 Lakehouse 的 SQL 分析端點,以撰寫 SQL 查詢並執行分析。 因此,您可以與他們共用該 Lakehouse,並透過使用 SQL 安全性模型,在 Lakehouse SQL 分析端點中只提供所需物件 (例如具有遮罩規則的資料表、資料列和資料行) 的存取權。 資料分析師現在只能存取與其角色和部門相關的資料,而且無法存取工作區中的其他項目,例如管線和筆記本。
常見的安全性案例
下表列出常見的安全性案例,以及可用來完成這些案例的工具。
| 案例 | 工具 | 方向 |
|---|---|---|
| 我是 ETL 開發人員,我想從多個來源系統和資料表中大規模將大量資料載入 Fabric。 來源資料為內部部署 (或其他雲端),位於防火牆和/或具有私人端點的 Azure 資料來源的後方。 | 搭配使用內部部署的資料閘道與管線資料 (複製活動)。 | 輸出 |
| 我是進階使用者,我想從我有權存取的來源系統中將資料載入 Fabric。 因為我不是開發人員,所以我需要使用低程式碼介面來轉換資料。 來源資料為內部部署 (或其他雲端),且位於防火牆後方。 | 搭配使用內部部署的資料閘道與 Dataflow Gen 2。 | 輸出 |
| 我是進階使用者,我想在 Fabric 中從我有權存取的來源系統中載入資料。 來源資料在 Azure 中位於私人端點後方,我不想安裝及維護內部部署的資料閘道基礎結構。 | 搭配使用 VNet 資料閘道與 Dataflow Gen 2。 | 輸出 |
| 我是開發人員,可以使用 Spark 筆記本撰寫資料擷取程式碼。 我想在 Fabric 中從我有權存取的來源系統中載入資料。 來源資料在 Azure 中位於私人端點後方,我不想安裝及維護內部部署的資料閘道基礎結構。 | 搭配使用 Fabric 筆記本與 Azure 私人端點。 | 輸出 |
| 我在 Azure Data Factory (ADF) 和 Synapse 管線中有許多現有的管線,它們會連線到我的資料來源,並將資料載入 Azure。 我現在想要修改這些管線,以將資料載入 Fabric。 | 在現有的管線中使用 Lakehouse 連接器。 | 輸出 |
| 我在 Spark 中開發了資料擷取架構,它可安全地連線到我的資料來源,並將它們載入 Azure。 我在 Azure Databricks 和/或 Synapse Spark 上執行它。 我想繼續使用 Azure Databricks 和/或 Synapse Spark,將資料載入 Fabric。 | 使用 OneLake 和 Azure Data Lake Storage (ADLS) Gen2 API (Azure Blob Filesystem 驅動程式) | 輸出 |
| 我想要確保我的 Fabric 端點受到公用網際網路的保護。 | 作為 SaaS 服務,網狀架構後端已受到公用因特網的保護。 如需更多保護,請使用 Fabric 的 Microsoft Entra 條件式存取原則,並且/或者針對 Fabric 啟用租用戶層級的私人連結,並封鎖公用網際網路存取。 | 傳入 |
| 我想要確保只能從我的公司網路內和/或從相容裝置中存取 Fabric。 | 使用 Fabric 的 Microsoft Entra 條件式存取原則。 | 傳入 |
| 我想要確保存取 Fabric 的任何人都必須執行多重要素驗證。 | 使用 Fabric 的 Microsoft Entra 條件式存取原則。 | 傳入 |
| 我想從公用網際網路鎖定整個 Fabric 租用戶,只允許從我的虛擬網路內存取。 | 為 Fabric 啟用租用戶層級的私人連結,並封鎖公用網際網路存取。 | 傳入 |
相關內容
如需有關 Fabric 安全性的詳細資訊,請參閱下列資源。
- Microsoft Fabric 中的安全性
- OneLake 安全性概觀
- Microsoft Fabric 概念和授權
- 有任何問題嗎? 請嘗試在 Microsoft Fabric 社群中提問。
- 有任何建議嗎? 貢獻改進 Microsoft Fabric 的想法。