Základy zabezpečení Microsoft Fabric

Tento článek představuje přehlednou perspektivu architektury zabezpečení Microsoft Fabric tím, že popisuje, jak hlavní toky zabezpečení v systému fungují. Popisuje také, jak se uživatelé ověřují pomocí Prostředků infrastruktury, jak se navazují datová připojení a jak Fabric ukládá a přesouvá data přes službu.

Tento článek je primárně zaměřený na správce prostředků infrastruktury, kteří zodpovídají za dohled nad prostředky infrastruktury v organizaci. Je také relevantní pro zúčastněné strany podnikového zabezpečení, včetně správců zabezpečení, správců sítě, správců Azure, správců pracovních prostorů a správců databází.

Platforma Fabric

Microsoft Fabric je all-in-one analytické řešení pro podniky, které pokrývá vše od přesunu dat až po datové vědy, analýzy v reálném čase a business intelligence (BI). Platforma Fabric se skládá z řady služeb a komponent infrastruktury, které podporují společné funkce pro všechna prostředí Infrastruktury. Souhrnně nabízejí komplexní sadu analytických prostředí navržených pro bezproblémovou spolupráci. Mezi prostředí patří Lakehouse, Data Factory, Synapse Datoví technici ing, Synapse Data Warehouse, Power BI a další.

S Fabric nemusíte vytvářet různé služby od více dodavatelů. Místo toho můžete využívat vysoce integrovaný, ucelený a snadno použitelný produkt, který je navržený tak, aby zjednodušil vaše potřeby analýzy. Prostředky infrastruktury byly navrženy od počátku tak, aby chránily citlivé prostředky.

Platforma Fabric je založená na základu softwaru jako služby (SaaS), který zajišťuje spolehlivost, jednoduchost a škálovatelnost. Je založená na Azure, což je platforma Microsoftu pro veřejné cloud computingy. Řada datových produktů byla tradičně platforma jako služba (PaaS), která vyžaduje, aby správce služby nastavil zabezpečení, dodržování předpisů a zásady správného řízení pro každou službu. Vzhledem k tomu, že prostředky infrastruktury jsou službou SaaS, mnohé z těchto funkcí jsou integrované do platformy SaaS a nevyžadují žádné nastavení ani minimální nastavení.

Diagram architektury

Následující diagram architektury znázorňuje vysokou reprezentaci architektury zabezpečení Fabric.

Diagram znázorňuje vysokou reprezentaci architektury zabezpečení Infrastruktury.

Diagram architektury znázorňuje následující koncepty.

  1. Uživatel k připojení ke službě Fabric používá prohlížeč nebo klientskou aplikaci, jako je Power BI Desktop.

  2. Ověřování zpracovává Microsoft Entra ID, dříve označované jako Azure Active Directory, což je cloudová služba pro správu identit a přístupu, která ověřuje uživatele nebo instanční objekt a spravuje přístup k Prostředkům infrastruktury.

  3. Webový front-end přijímá požadavky uživatelů a usnadňuje přihlášení. Směruje také požadavky a obsluhuje front-endový obsah uživateli.

  4. Platforma metadat ukládá metadata tenanta, která můžou zahrnovat zákaznická data. Služby Fabric se dotazují na tuto platformu na vyžádání, aby načítaly informace o autorizaci a autorizaci a ověřování uživatelských požadavků. Nachází se v domovské oblasti tenanta.

  5. Back-endová kapacita platformy zodpovídá za výpočetní operace a za ukládání zákaznických dat a nachází se v oblasti kapacity. Využívá základní služby Azure v této oblasti podle potřeby pro konkrétní prostředí Infrastruktury.

Služby infrastruktury platformy Fabric jsou víceklientní. Mezi tenanty existuje logická izolace. Tyto služby nezpracovávají složitý uživatelský vstup a všechny jsou napsané ve spravovaném kódu. Služby platformy nikdy nespouštějí žádný uživatelem psaný kód.

Platforma metadat a back-endová kapacita platformy se spouští v zabezpečených virtuálních sítích. Tyto sítě zveřejňují řadu zabezpečených koncových bodů pro internet, aby mohly přijímat požadavky od zákazníků a dalších služeb. Kromě těchto koncových bodů jsou služby chráněné pravidly zabezpečení sítě, která blokují přístup z veřejného internetu. Komunikace v rámci virtuálních sítí je také omezena na základě oprávnění jednotlivých interních služeb.

Aplikační vrstva zajišťuje, aby tenanti měli přístup pouze k datům z vlastního tenanta.

Ověřování

Prostředky infrastruktury spoléhají na ID Microsoft Entra k ověřování uživatelů (nebo instančních objektů). Při ověření uživatelé obdrží přístupové tokeny z ID Microsoft Entra. Prostředky infrastruktury tyto tokeny používají k provádění operací v kontextu uživatele.

Klíčovou funkcí Microsoft Entra ID je podmíněný přístup. Podmíněný přístup zajišťuje zabezpečení tenantů vynucením vícefaktorového ověřování a povolením přístupu ke konkrétním službám jenom zaregistrovaným zařízením Microsoft Intune . Podmíněný přístup také omezuje umístění uživatelů a rozsahy IP adres.

Autorizace

Všechna oprávnění prostředků infrastruktury jsou centrálně uložena platformou metadat. Služby Fabric se dotazují na platformu metadat na vyžádání, aby načítaly informace o autorizaci a autorizaci a ověřování uživatelských požadavků.

Z důvodů výkonu služba Fabric někdy zapouzdřuje autorizační informace do podepsaných tokenů. Podepsané tokeny vydává pouze back-endová kapacita platformy a zahrnují přístupový token, autorizační informace a další metadata.

Umístění dat

V prostředcích infrastruktury je tenant přiřazen ke clusteru domovské platformy metadat, který se nachází v jedné oblasti, která splňuje požadavky na rezidenci dat zeměpisné oblasti. Metadata tenanta, která můžou zahrnovat zákaznická data, jsou uložená v tomto clusteru.

Zákazníci můžou řídit, kde se nacházejí své pracovní prostory . Můžou se rozhodnout najít své pracovní prostory ve stejné zeměpisné oblasti jako cluster platformy metadat, a to buď explicitně přiřazením pracovních prostorů ke kapacitám v dané oblasti, nebo implicitně pomocí zkušební verze Prostředků infrastruktury, Power BI Pro nebo režimu licence Power BI Premium na uživatele. V druhém případě se všechna zákaznická data ukládají a zpracovávají v této jediné geografické oblasti. Další informace najdete v tématu Koncepty a licence Microsoft Fabric.

Zákazníci mohou také vytvářet kapacity Multi-Geo umístěné v jiných geografických oblastech než v jejich domovské oblasti. V tomto případě se výpočetní prostředky a úložiště (včetně OneLake a úložiště specifické pro prostředí) nacházejí v oblasti s více geografickou oblastí, ale metadata tenanta zůstávají v domovské oblasti. Zákaznická data se budou ukládat a zpracovávat pouze v těchto dvou zeměpisných oblastech. Další informace najdete v tématu Konfigurace podpory Multi-Geo pro Prostředky infrastruktury.

Manipulace s daty

Tato část obsahuje přehled toho, jak funguje zpracování dat v prostředcích infrastruktury. Popisuje úložiště, zpracování a přesun zákaznických dat.

Neaktivní uložená data

Všechna úložiště dat Infrastruktury se šifrují v klidovém stavu pomocí klíčů spravovaných Microsoftem. Data infrastruktury zahrnují zákaznická data i systémová data a metadata.

I když se data dají zpracovat v paměti v nezašifrovaném stavu, nikdy se neuchovávají do trvalého úložiště v nešifrovaném stavu.

Přenášená data

Přenášená data mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Prostředky infrastruktury vyjednávají protokol TLS 1.3, kdykoli je to možné. Provoz mezi služby Microsoft vždy směruje přes globální síť Microsoftu.

Příchozí komunikace infrastruktury také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace infrastruktury infrastruktury ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může se vrátit ke starším nezabezpečeným protokolům (včetně protokolu TLS 1.0), pokud novější protokoly nejsou podporované.

Telemetrie

Telemetrie se používá k udržení výkonu a spolehlivosti platformy Fabric. Úložiště telemetrie platformy Fabric je navržené tak, aby vyhovovalo předpisům pro data a ochranu osobních údajů pro zákazníky ve všech oblastech, kde je služba Fabric dostupná, včetně Evropské unie (EU). Další informace naleznete v tématu EU Data Boundary Services.

OneLake

OneLake je jedno jednotné logické datové jezero pro celou organizaci a automaticky se zřizuje pro každého tenanta Fabric. Je založená na Azure a může ukládat jakýkoli typ souboru, strukturovaného nebo nestrukturovaného souboru. Všechny položky infrastruktury, jako jsou sklady a jezero, také automaticky ukládají data do OneLake.

OneLake podporuje stejná rozhraní API a sady SDK azure Data Lake Storage Gen2 (ADLS Gen2), proto je kompatibilní se stávajícími aplikacemi ADLS Gen2, včetně Azure Databricks.

Další informace najdete v tématu Zabezpečení Fabric a OneLake.

Zabezpečení pracovního prostoru

Pracovní prostory představují primární hranici zabezpečení pro data uložená ve OneLake. Každý pracovní prostor představuje jednu doménu nebo oblast projektu, kde týmy můžou spolupracovat na datech. Zabezpečení v pracovním prostoru spravujete přiřazením uživatelů k rolím pracovního prostoru.

Další informace najdete v tématu Zabezpečení Prostředků infrastruktury a OneLake (zabezpečení pracovního prostoru).

Zabezpečení položek

V rámci pracovního prostoru můžete přiřadit oprávnění přímo k položkám Infrastruktury, jako jsou sklady a jezera. Zabezpečení položek poskytuje flexibilitu pro udělení přístupu k jednotlivým položkě infrastruktury bez udělení přístupu k celému pracovnímu prostoru. Uživatelé můžou nastavit oprávnění pro jednotlivé položky buď sdílením položky , nebo správou oprávnění položky.

Zdroje informací o dodržování předpisů

Služba Fabric se řídí podmínkami služeb Microsoft Online Services a prohlášením o zásadách ochrany osobních údajů společnosti Microsoft Enterprise.

Informace o umístění zpracování dat najdete v podmínkách služeb Microsoft Online Services a v dodatku k ochraně osobních údajů.

V případě informací o dodržování předpisů je Centrum zabezpečení Microsoftu primárním prostředkem pro Prostředky infrastruktury. Další informace o dodržovánípředpisůch

Služba Fabric se řídí životním cyklem vývoje zabezpečení (SDL), který se skládá ze sady striktních postupů zabezpečení, které podporují požadavky na zajištění zabezpečení a dodržování předpisů. SDL pomáhá vývojářům vytvářet bezpečnější software snížením počtu a závažnosti ohrožení zabezpečení v softwaru a snížením nákladů na vývoj. Další informace naleznete v tématu Microsoft Security Development Lifecycle Practices.

Další informace o zabezpečení prostředků infrastruktury najdete v následujících zdrojích informací.