Рекомендации по обеспечению безопасности OneLake

В этой статье описаны рекомендации по защите данных в OneLake, включая рекомендации по архитектуре.

Минимальные привилегии

Наименее привилегированный доступ является основным принципом безопасности в компьютерной науке, который выступает за ограничение разрешений пользователей и прав доступа только к этим разрешениям, необходимым для выполнения своих задач. Для OneLake доступ с наименьших привилегий означает назначение разрешений на соответствующем уровне для снижения риска и обеспечения того, чтобы пользователи не получили чрезмерно много разрешений.

  • Если пользователям требуется доступ только к одному lakehouse или элементу данных, используйте функцию "Поделиться для предоставления им доступа только к этому элементу. Только назначьте пользователя на роль в рабочей области, если этот пользователь должен видеть все элементы в этой рабочей области.

  • Используйте безопасность OneLake, чтобы ограничить доступ к папкам и таблицам в лейкхаусе. Для конфиденциальных данных безопасность OneLake на уровне строк или столбцов гарантирует, что защищенные строки и столбцы остаются скрытыми.

  • Для записи данных в OneLake существует два варианта разрешений: роли рабочей области или разрешение OneLake security ReadWrite. Пользователи с ролями рабочей области "Администратор", "Член" или "Участник" могут записывать данные в OneLake. Для зрителей или пользователей с разрешениями только на чтение элемента можно предоставить подробные разрешения OneLake Security ReadWrite на определенные папки и таблицы. Эти разрешения можно использовать с помощью записных книжек Spark, проводника OneLake и API OneLake. В настоящее время операции записи через пользовательский интерфейс Lakehouse не поддерживаются для пользователей с правами просмотра.

  • Если пользователям необходимо управлять доступом к данным, таким как общий доступ к элементу или настройка ролей безопасности OneLake, требуются роли администратора или участника группы.

  • Пользователям требуется разрешение SubscribeOneLakeEvents для подписки на события из элемента Fabric. Роли администратора, члена и сотрудника имеют это разрешение по умолчанию. Это разрешение можно добавить для пользователя с ролью зрителя.

Основной шаблон

Этот шаблон является рекомендуемой базовой архитектурой для реализации безопасности OneLake в масштабе. В некоторых сценариях могут потребоваться альтернативные подходы из-за текущих ограничений безопасности сети. Этот шаблон соответствует долгосрочному направлению безопасности OneLake, поскольку эти ограничения устраняются.

Основным принципом является централизация владения данными и обеспечения безопасности в основной рабочей области. Управляйте данными и защищайте их в источнике данных, а затем делитесь ими с последующими рабочими областями с помощью ярлыков в OneLake. Этот подход гарантирует, что политики безопасности OneLake постоянно применяются независимо от того, где пользователи используют данные.

Схема базового шаблона, показывающая основную рабочую область A с набором безопасности. Затем пользователи используют эти данные с помощью сочетаний клавиш в рабочих областях B и C.

  • Создайте основную рабочую область (рабочая область А):

    • Создайте основную рабочую область (рабочая область A), которая содержит базу данных типа lakehouse или зеркальную базу данных, а также любые другие элементы исходных данных.
    • Включите безопасность OneLake в хранилище данных lakehouse и определите необходимые политики для уровня объектов и тонкой настройки (RLS/CLS).
    • Предоставьте пользователям доступ уровня Viewer к рабочему пространству и добавьте их в определенные роли безопасности OneLake.
    • Настройте все конечные точки аналитики SQL в рабочей области A на работу под идентичностью пользователя, чтобы политики безопасности OneLake оценивались для каждого пользователя.
  • Создание подчиненных рабочих областей:

    • Создайте подчиненные рабочие области для поддержки использования данных, дополнительных рабочих нагрузок или вариантов использования для конкретного домена.
    • В нижестоящих озерах создавайте ярлыки, которые указывают на данные в рабочей области A. Политики безопасности OneLake, определенные в источнике, автоматически применяются, чтобы пользователи имели доступ только к данным, которые они имеют право на просмотр.
    • Убедитесь, что конечные точки аналитики SQL в подчиненных рабочих областях настроены для использования режима идентификации пользователя. Рекомендуется также создавать зависимые рабочие области и хранилища данных, используя того же владельца, что и рабочая область A, чтобы получить наиболее согласованный опыт. Эта настройка дает владельцу данных возможность принудительно применять режим идентификации пользователя.