Безопасность в Microsoft Fabric
Microsoft Fabric — это программное обеспечение как услуга (SaaS), которая позволяет пользователям получать, создавать, предоставлять общий доступ и визуализировать данные.
В качестве службы SaaS Fabric предлагает полный пакет безопасности для всей платформы. Структура удаляет затраты и ответственность за обслуживание решения для обеспечения безопасности и передает его в облако. С помощью Fabric вы можете использовать опыт и ресурсы Корпорации Майкрософт для обеспечения безопасности данных, уязвимостей исправлений, мониторинга угроз и соблюдения нормативных требований. Структура также позволяет управлять параметрами безопасности и управлять ими в соответствии с изменяющимися потребностями и требованиями.
При переносе данных в облако и их использовании с различными аналитическими функциями, такими как Power BI, Фабрика данных и следующее поколение Synapse, корпорация Майкрософт гарантирует, что встроенные функции безопасности и надежности обеспечивают защиту неактивных и передаваемых данных. Корпорация Майкрософт также гарантирует, что ваши данные можно восстановить в случаях сбоев инфраструктуры или аварий.
Безопасность структуры:
Always on — каждое взаимодействие с Fabric шифруется по умолчанию и проходит проверку подлинности с помощью идентификатора Microsoft Entra. Все взаимодействие между структурами проходит через магистральный интернет Майкрософт. Неактивные данные автоматически хранятся в зашифрованном виде. Чтобы регулировать доступ к Fabric, можно добавить дополнительные функции безопасности, такие как Приватный канал или условный доступ Entra. Структура также может подключаться к данным, защищенным брандмауэром или частной сетью, с помощью доверенного доступа.
Соответствие требованиям . Структура имеет суверенитет данных из коробки с несколькими географическими емкостями. Fabric также поддерживает широкий спектр стандартов соответствия.
Управление — Структура поставляется с набором средств управления, таких как происхождение данных, метки защиты информации, предотвращение потери данных и интеграция purview.
Можно настроить безопасность Fabric в соответствии с политиками организации.
Развитие — Корпорация Майкрософт постоянно улучшает безопасность Fabric, добавляя новые функции и элементы управления.
Аутентификация
Microsoft Fabric — это платформа SaaS, как и многие другие службы Майкрософт, такие как Azure, Microsoft Office, OneDrive и Dynamics. Все эти службы Microsoft SaaS, включая Fabric, используют идентификатор Microsoft Entra в качестве поставщика облачных удостоверений. Идентификатор Microsoft Entra помогает пользователям быстро и легко подключаться к этим службам с любого устройства и любой сети. Каждый запрос на подключение к Fabric проходит проверку подлинности с помощью идентификатора Microsoft Entra, позволяя пользователям безопасно подключаться к Fabric из корпоративного офиса, при работе дома или из удаленного расположения.
понимать сетевую безопасность;
Fabric — это служба SaaS, которая выполняется в облаке Майкрософт. Некоторые сценарии включают подключение к данным, которые находятся за пределами платформы Fabric. Например, просмотр отчета из собственной сети или подключение к данным, которые находится в другой службе. Взаимодействие в Fabric использует внутреннюю сеть Майкрософт и трафик за пределами службы по умолчанию. Дополнительные сведения и подробное описание см. в разделе "Данные во время передачи".
Безопасность входящего сетевого трафика
Вашей организации может потребоваться ограничить и защитить сетевой трафик, поступающий в Fabric на основе требований вашей компании. С помощью условного доступа и Приватный канал идентификатора Microsoft Entra можно выбрать подходящее решение для входящего трафика для вашей организации.
Условный доступ идентификатора Microsoft Entra
Идентификатор Microsoft Entra предоставляет Fabric условный доступ , который позволяет защитить доступ к Fabric на каждом подключении. Ниже приведены несколько примеров ограничений доступа, которые можно применить с помощью условного доступа.
Определите список IP-адресов для входящего подключения к Fabric.
Используйте многофакторную проверку подлинности (MFA).
Ограничить трафик на основе параметров, таких как страна происхождения или тип устройства.
Сведения о настройке условного доступа см. в статье "Условный доступ" в Fabric.
Дополнительные сведения о проверке подлинности в Fabric см. в разделе "Основы безопасности Microsoft Fabric".
Приватные каналы
Приватные каналы обеспечивают безопасное подключение к Fabric, ограничивая доступ к клиенту Fabric из виртуальной сети Azure и блокируя весь общедоступный доступ. Это гарантирует, что только сетевой трафик из этой виртуальной сети разрешен для доступа к функциям Fabric, таким как записные книжки, Lakehouses и хранилища данных в клиенте.
Сведения о настройке Приватный канал в Fabric см. в статье "Настройка и использование приватных ссылок".
Безопасность исходящей сети
Fabric имеет набор средств, позволяющих подключаться к внешним источникам данных и безопасно переносить эти данные в Fabric. В этом разделе перечислены различные способы импорта и подключения к данным из безопасной сети в структуру.
Доступ к доверенной рабочей области
С помощью Fabric можно безопасно получить доступ к учетным записям Azure Data Lake 2-го поколения. Рабочие области Fabric с удостоверением рабочей области могут безопасно получать доступ к учетным записям Azure Data Lake 2-го поколения с включенным общедоступным доступом к сети из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric. Дополнительные сведения см. в разделе "Доверенный доступ к рабочей области".
Примечание.
Удостоверения рабочей области Fabric можно создавать только в рабочих областях, связанных с емкостью SKU Fabric F. Сведения о покупке подписки Fabric см. в статье "Приобретение подписки Microsoft Fabric".
Управляемые частные конечные точки
Управляемые частные конечные точки позволяют безопасно подключаться к источникам данных, таким как базы данных SQL Azure, не предоставляя их общедоступной сети или требуя сложных конфигураций сети.
Управляемые виртуальные сети
Управляемые виртуальные сети — это виртуальные сети , созданные и управляемые Microsoft Fabric для каждой рабочей области Fabric. Управляемые виртуальные сети обеспечивают изоляцию сети для рабочих нагрузок Fabric Spark, то есть вычислительные кластеры развертываются в выделенной сети и больше не являются частью общей виртуальной сети.
Управляемые виртуальные сети также обеспечивают функции безопасности сети, такие как управляемые частные конечные точки, а также поддержку приватного канала для Инжиниринг данных и Обработка и анализ данных элементов в Microsoft Fabric, использующих Apache Spark.
Шлюз данных
Чтобы подключиться к локальным источникам данных или источнику данных, которые могут быть защищены брандмауэром или виртуальной сетью, можно использовать один из следующих вариантов:
Локальный шлюз данных — шлюз выступает в качестве моста между локальными источниками данных и Fabric. Шлюз устанавливается на сервере в сети и позволяет Fabric подключаться к источникам данных через безопасный канал без необходимости открывать порты или вносить изменения в сеть.
Шлюз данных виртуальной сети — шлюз виртуальной сети позволяет подключаться из служб Microsoft Cloud к службам данных Azure в виртуальной сети без необходимости локального шлюза данных.
Подключение к OneLake из существующей службы
Вы можете подключиться к Fabric с помощью существующей службы Платформы Azure как службы (PaaS). Для Synapse и Фабрика данных Azure (ADF) можно использовать среду выполнения интеграции Azure (IR) или Фабрика данных Azure управляемую виртуальную сеть. Вы также можете подключиться к этим службам и другим службам, таким как потоки данных сопоставления, кластеры Synapse Spark, кластеры Databricks Spark и Azure HDInsight с помощью API OneLake.
Теги службы Azure
Используйте теги службы для приема данных без использования шлюзов данных из источников данных, развернутых в виртуальной сети Azure, таких как Виртуальные машины SQL Azure (виртуальные машины), Управляемый экземпляр SQL Azure (MI) и REST API. Теги служб также можно использовать для получения трафика из виртуальной сети или брандмауэра Azure. Например, теги служб могут разрешать исходящий трафик в Fabric, чтобы пользователь на виртуальной машине смог подключиться к строка подключения Fabric SQL из SSMS, а также запретить доступ к другим общедоступным интернет-ресурсам.
Списки разрешенных IP-адресов
Если у вас есть данные, которые не находятся в Azure, вы можете включить список разрешений IP-адресов в сети вашей организации, чтобы разрешить трафик в Fabric и из Нее. Список разрешений IP-адресов полезен, если необходимо получить данные из источников данных, которые не поддерживают теги служб, например локальные источники данных. С помощью этих сочетаний клавиш вы можете получить данные без копирования в OneLake с помощью конечной точки аналитики SQL Lakehouse или Direct Lake.
Список IP-адресов Fabric можно получить из тегов служб в локальной среде. Список доступен в виде JSON-файла или программно с помощью REST API, PowerShell и интерфейс командной строки Azure (CLI).
Обеспечение безопасности данных
В Fabric все данные, хранящиеся в OneLake, шифруются неактивных данных. Все неактивные данные хранятся в вашем домашнем регионе или в одном из ваших емкостей в удаленном регионе, чтобы обеспечить соответствие неактивных данных нормативным требованиям о суверенитете. Дополнительные сведения см. в разделе "Основы безопасности Microsoft Fabric".
Общие сведения о клиентах в нескольких географических регионах
Многие организации имеют глобальное присутствие и требуют служб в нескольких географических регионах Azure. Например, компания может иметь свою штаб-квартиру в США, выполняя бизнес в других географических районах, таких как Австралия. Чтобы соответствовать местным нормативным требованиям, предприятиям с глобальным присутствием необходимо обеспечить хранение данных в неактивных местах в нескольких регионах. В Fabric это называется несколькими географическими.
Уровень выполнения запросов, кэши запросов и данные элементов, назначенные рабочей области с несколькими регионами, остаются в географической области Azure. Однако некоторые метаданные и обработка хранятся в неактивных данных в домашней географической области клиента.
Структура является частью более крупной экосистемы Майкрософт. Если ваша организация уже использует другие облачные службы подписки, такие как Azure, Microsoft 365 или Dynamics 365, Fabric работает в том же клиенте Microsoft Entra. Домен организации (например, contoso.com) связан с идентификатором Microsoft Entra. Как и все облачные службы Майкрософт.
Структура гарантирует безопасность данных в разных регионах при работе с несколькими клиентами, имеющими несколько емкостей в нескольких географических регионах.
Логическое разделение данных — платформа Fabric обеспечивает логическую изоляцию между клиентами для защиты данных.
Суверенитет данных. Чтобы начать работу с несколькими географическими данными, ознакомьтесь с разделом "Настройка поддержки нескольких регионов" для Fabric.
Доступ к данным
Структура управляет доступом к данным с помощью рабочих областей. В рабочих областях данные отображаются в виде элементов Fabric, и пользователи не могут просматривать или использовать элементы (данные), если вы не предоставляете им доступ к рабочей области. Дополнительные сведения о разрешениях рабочей области и элемента см. в модели разрешений.
Роли рабочей области
Доступ к рабочей области указан в таблице ниже. Она включает роли рабочей области и безопасность Fabric и OneLake. Пользователи с ролью средства просмотра могут запускать запросы SQL, анализа данных (DAX) или многомерных выражений, но не могут получить доступ к элементам Fabric или запустить записную книжку.
Роль | Доступ к рабочей области | Доступ OneLake |
---|---|---|
Администратор, член и участник | Может использовать все элементы в рабочей области | ✅ |
Наблюдатель | Просмотреть все элементы в рабочей области | ❌ |
Общий доступ к элементам
Вы можете совместно использовать элементы Fabric с пользователями в вашей организации, у которых нет роли рабочей области. Элементы общего доступа предоставляют ограниченный доступ, позволяя пользователям получать доступ только к общему элементу в рабочей области.
Ограничить доступ
Вы можете ограничить доступ средства просмотра к данным с помощью безопасности на уровне строк (RLS), безопасности на уровне столбцов (CLS) и безопасности на уровне объектов (OLS). С помощью RLS, CLS и OLS можно создать удостоверения пользователей, имеющие доступ к определенным частям данных, и ограничить результаты SQL, возвращая только доступ к удостоверениям пользователя.
Вы также можете добавить RLS в набор данных DirectLake. Если вы определяете безопасность для SQL и DAX, DirectLake возвращается в DirectQuery для таблиц с RLS в SQL. В таких случаях результаты DAX или многомерных выражений ограничены удостоверением пользователя.
Чтобы предоставлять отчеты с помощью набора данных DirectLake с RLS без резервного использования DirectQuery, используйте прямой общий доступ к набору данных или приложения в Power BI. С помощью приложений в Power BI вы можете предоставить доступ к отчетам без доступа к просмотру. Такой доступ означает, что пользователи не могут использовать SQL. Чтобы Включить DirectLake для чтения данных, необходимо переключить учетные данные источника данных с Единый вход (SSO) на фиксированное удостоверение, которое имеет доступ к файлам в озере.
Защита данных
Fabric поддерживает метки конфиденциальности из Защита информации Microsoft Purview. Это метки, такие как общие, конфиденциальные и строго конфиденциальные, которые широко используются в microsoft Приложение Office, таких как Word, PowerPoint и Excel для защиты конфиденциальной информации. В Fabric можно классифицировать элементы, содержащие конфиденциальные данные, с помощью этих же меток конфиденциальности. Метки конфиденциальности затем автоматически следуют данным из элемента в элемент, так как он проходит через Fabric, вплоть до источника данных до бизнес-пользователя. Метка конфиденциальности следует, даже если данные экспортируются в поддерживаемые форматы, такие как PBIX, Excel, PowerPoint и PDF, обеспечивая защиту данных. Только авторизованные пользователи могут открыть файл. Дополнительные сведения см. в разделе "Управление и соответствие требованиям" в Microsoft Fabric.
Чтобы помочь вам управлять, защищать и управлять данными, можно использовать Microsoft Purview. Microsoft Purview и Fabric совместно позволяют хранить, анализировать и управлять данными из одного расположения, центра Microsoft Purview.
Восстановление данных
Устойчивость данных структуры гарантирует доступность данных в случае аварии. Fabric также позволяет восстановить данные в случае аварии, аварийного восстановления. Дополнительные сведения см. в разделе "Надежность" в Microsoft Fabric.
Администрирование Fabric
Администратор в Fabric позволяет управлять возможностями всей организации. Структура позволяет делегирование роли администратора емкостям, рабочим областям и доменам. Делегируя обязанности администратора правильным пользователям, вы можете реализовать модель, которая позволяет нескольким ключевым администраторам управлять общими параметрами Fabric в организации, а другие администраторы, отвечающие за параметры, связанные с конкретными областями.
С помощью различных средств администраторы также могут отслеживать ключевые аспекты Структуры, такие как потребление емкости.
Журналы аудита
Чтобы просмотреть журналы аудита, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Вы также можете ознакомиться со списком операций, чтобы узнать, какие действия доступны для поиска в журналах аудита.
Возможности
В этом разделе приведен список некоторых функций безопасности, доступных в Microsoft Fabric.
Возможность | Description |
---|---|
Условный доступ | Защита приложений с помощью идентификатора Microsoft Entra |
Защищенное хранилище | Управление доступом инженеров Майкрософт к данным |
Безопасность Fabric и OneLake | Узнайте, как защитить данные в Fabric и OneLake. |
Устойчивость | Надежность и региональная устойчивость с зонами доступности Azure |
Теги служб | Включение Управляемый экземпляр SQL Azure (MI) для разрешения входящих подключений из Microsoft Fabric |