Zabezpečení v Microsoft Fabric

Microsoft Fabric je platforma SaaS (software jako služba), která umožňuje uživatelům získávat, vytvářet, sdílet a vizualizovat data.

Jako služba SaaS nabízí Fabric kompletní balíček zabezpečení pro celou platformu. Prostředky infrastruktury odeberou náklady a odpovědnost za údržbu vašeho řešení zabezpečení a přenese je do cloudu. S Fabric můžete využít odborné znalosti a prostředky Microsoftu k zabezpečení dat, opravám ohrožení zabezpečení, monitorování hrozeb a dodržování předpisů. Prostředky infrastruktury také umožňují spravovat, řídit a auditovat nastavení zabezpečení v souladu s vašimi měnícími se potřebami a požadavky.

Když data přenesete do cloudu a použijete je s různými analytickými prostředími, jako jsou Power BI, Data Factory a další generace Synapse, Microsoft zajistí, aby integrované funkce zabezpečení a spolehlivosti zabezpečily neaktivní uložená a přenášená data. Microsoft také zajišťuje, aby se vaše data v případě selhání infrastruktury nebo havárií obnovila.

Zabezpečení prostředků infrastruktury je:

  • AlwaysOn – Každá interakce s prostředky infrastruktury je ve výchozím nastavení šifrovaná a ověřená pomocí ID Microsoft Entra. Veškerá komunikace mezi prostředími Fabric prochází přes páteřní internet Microsoftu. Neaktivní uložená data se automaticky ukládají zašifrovaná. Chcete-li regulovat přístup k prostředkům infrastruktury, můžete přidat další funkce zabezpečení, jako jsou privátní odkazy nebo podmíněný přístup Entra . Prostředky infrastruktury se také můžou připojit k datům chráněným bránou firewall nebo privátní sítí pomocí důvěryhodného přístupu.

  • Kompatibilní – Prostředky infrastruktury mají suverenitu dat s více geografickými kapacitami. Prostředky infrastruktury také podporují širokou škálu standardů dodržování předpisů.

  • Řízení – Prostředky infrastruktury jsou součástí sady nástrojů zásad správného řízení, jako jsou rodokmen dat, popisky ochrany informací, prevence ztráty dat a integrace purview.

  • Konfigurovatelné – Zabezpečení prostředků infrastruktury můžete nakonfigurovat v souladu se zásadami vaší organizace.

  • Vyvíjí se – Microsoft neustále vylepšuje zabezpečení prostředků infrastruktury přidáním nových funkcí a ovládacích prvků.

Ověření

Microsoft Fabric je platforma SaaS, stejně jako řada dalších služby Microsoft, jako je Azure, systém Microsoft Office, OneDrive a Dynamics. Všechny tyto služby Microsoft SaaS, včetně Prostředků infrastruktury, používají jako svého cloudového zprostředkovatele identity ID Microsoft Entra. Microsoft Entra ID pomáhá uživatelům připojit se k těmto službám rychle a snadno z libovolného zařízení a jakékoli sítě. Každý požadavek na připojení k Prostředkům infrastruktury se ověřuje pomocí Microsoft Entra ID, což uživatelům umožňuje bezpečné připojení k Prostředkům infrastruktury ze své firemní kanceláře, při práci doma nebo na vzdáleném místě.

Principy zabezpečení sítě

Fabric je služba SaaS, která běží v cloudu Microsoftu. Některé scénáře zahrnují připojení k datům mimo platformu Fabric. Například zobrazení sestavy z vlastní sítě nebo připojení k datům, která jsou v jiné službě. Interakce v rámci prostředků infrastruktury používají interní síť Microsoftu a provoz mimo službu je ve výchozím nastavení chráněný. Další informace a podrobný popis najdete v tématu Data při přenosu.

Zabezpečení příchozí sítě

Vaše organizace může chtít omezit a zabezpečit síťový provoz přicházející do prostředků infrastruktury na základě požadavků vaší společnosti. Pomocí podmíněného přístupu Microsoft Entra ID a privátních odkazů můžete vybrat správné příchozí řešení pro vaši organizaci.

Podmíněný přístup Microsoft Entra ID

Microsoft Entra ID poskytuje prostředky infrastruktury s podmíněným přístupem , který umožňuje zabezpečit přístup k prostředkům infrastruktury na každém připojení. Tady je několik příkladů omezení přístupu, která můžete vynutit pomocí podmíněného přístupu.

  • Definujte seznam IP adres pro příchozí připojení k prostředkům infrastruktury.

  • Použití vícefaktorového ověřování (MFA).

  • Omezte provoz na základě parametrů, jako je země původu nebo typ zařízení.

Informace o konfiguraci podmíněného přístupu najdete v tématu Podmíněný přístup v prostředcích infrastruktury.

Další informace o ověřování v prostředcích infrastruktury najdete v tématu Základy zabezpečení Microsoft Fabric.

Privátní propojení umožňují zabezpečené připojení k prostředkům infrastruktury tím, že omezí přístup k vašemu tenantovi Fabric z virtuální sítě Azure a zablokují veškerý veřejný přístup. Tím se zajistí, že přístup k funkcím Prostředků infrastruktury, jako jsou Poznámkové bloky, Lakehouses a datové sklady, ve vašem tenantovi budou mít povolený pouze síťový provoz z této virtuální sítě.

Informace o konfiguraci privátních propojení v prostředcích infrastruktury najdete v tématu Nastavení a použití privátních propojení.

Zabezpečení odchozí sítě

Prostředky infrastruktury mají sadu nástrojů, které umožňují připojit se k externím zdrojům dat a bezpečně přenést tato data do prostředků infrastruktury. Tato část obsahuje různé způsoby importu a připojení k datům ze zabezpečené sítě do prostředků infrastruktury.

Důvěryhodný přístup k pracovnímu prostoru

S prostředky infrastruktury můžete bezpečně přistupovat k účtům Azure Data Lake Gen2 s povoleným bránou firewall. Pracovní prostory infrastruktury s identitou pracovního prostoru můžou bezpečně přistupovat k účtům Azure Data Lake Gen2 s povoleným přístupem k veřejné síti z vybraných virtuálních sítí a IP adres. Přístup ADLS Gen2 můžete omezit na konkrétní pracovní prostory Infrastruktury. Další informace naleznete v tématu Důvěryhodný přístup k pracovnímu prostoru.

Poznámka:

Identity pracovního prostoru prostředků infrastruktury je možné vytvářet pouze v pracovních prostorech přidružených ke kapacitě skladové položky Fabric F. Informace o nákupu předplatného Fabric najdete v tématu Zakoupení předplatného Microsoft Fabric.

Spravované privátní koncové body

Spravované privátní koncové body umožňují zabezpečená připojení ke zdrojům dat, jako jsou databáze Azure SQL, aniž by je zpřístupňovaly veřejné síti nebo vyžadovaly složité konfigurace sítě.

Spravované virtuální sítě

Spravované virtuální sítě jsou virtuální sítě , které vytváří a spravuje Microsoft Fabric pro každý pracovní prostor Fabric. Spravované virtuální sítě poskytují izolaci sítě pro úlohy Fabric Spark, což znamená, že výpočetní clustery jsou nasazené ve vyhrazené síti a už nejsou součástí sdílené virtuální sítě.

Spravované virtuální sítě také umožňují funkce zabezpečení sítě, jako jsou spravované privátní koncové body, a podporu privátního propojení pro Datoví technici a Datová Věda položek v Microsoft Fabric, které používají Apache Spark.

Brána dat

Pokud se chcete připojit k místním zdrojům dat nebo ke zdroji dat, který může být chráněný bránou firewall nebo virtuální sítí, můžete použít jednu z těchto možností:

  • Místní brána dat – Brána funguje jako most mezi místními zdroji dat a prostředky infrastruktury. Brána je nainstalovaná na serveru v síti a umožňuje fabric připojit se ke zdrojům dat prostřednictvím zabezpečeného kanálu, aniž by bylo nutné otevírat porty nebo provádět změny v síti.

  • Brána dat virtuální sítě – Brána virtuální sítě umožňuje připojení z cloudových služeb Microsoftu k datovým službám Azure v rámci virtuální sítě bez nutnosti místní brány dat.

Připojení k OneLake z existující služby

K Fabric se můžete připojit pomocí stávající služby Azure Platform as a Service (PaaS). Pro Synapse a Azure Data Factory (ADF) můžete použít prostředí Azure Integration Runtime (IR) nebo spravovanou virtuální síť azure Data Factory. Můžete se také připojit k těmto službám a dalším službám, jako jsou mapování toků dat, clustery Synapse Spark, clustery Databricks Spark a Azure HDInsight pomocí rozhraní ONELake API.

Značky služeb Azure

Pomocí značek služeb můžete ingestovat data bez použití bran dat ze zdrojů dat nasazených ve virtuální síti Azure, jako jsou virtuální počítače Azure SQL, azure SQL Managed Instance (MI) a rozhraní REST API. Značky služeb můžete použít také k získání provozu z virtuální sítě nebo brány Azure Firewall. Značky služeb můžou například povolit odchozí provoz do Prostředků infrastruktury, aby se uživatel na virtuálním počítači mohl připojit k SQL připojovací řetězec Fabric ze služby SSMS a zároveň zablokoval přístup k jiným veřejným internetovým prostředkům.

Seznamy povolených IP adres

Pokud máte data, která se nenachází v Azure, můžete povolit seznam povolených IP adres v síti vaší organizace a povolit tak provoz do a z prostředků infrastruktury. Seznam povolených IP adres je užitečný, pokud potřebujete získat data ze zdrojů dat, které nepodporují značky služeb, jako jsou místní zdroje dat. Pomocí těchto zkratek můžete získat data bez jejich kopírování do OneLake pomocí koncového bodu analýzy SQL Lakehouse nebo Direct Lake.

Seznam IP adres Prostředků infrastruktury můžete získat z místních značek služeb. Seznam je k dispozici jako soubor JSON nebo programově s rozhraními REST API, PowerShellem a rozhraním příkazového řádku Azure (CLI).

Zabezpečení dat

V prostředcích infrastruktury se šifrují všechna neaktivní uložená data ve Službě OneLake. Všechna neaktivní uložená data jsou uložená ve vaší domovské oblasti nebo v některé z vašich kapacit ve vzdálené oblasti podle vašeho výběru, abyste mohli splňovat data v nařízení o suverenitě neaktivních uložených dat. Další informace najdete v tématu Základy zabezpečení Microsoft Fabric.

Principy tenantů v několika geografických oblastech

Mnoho organizací má globální přítomnost a vyžaduje služby v několika geografických oblastech Azure. Například společnost může mít své ústředí v USA a současně podnikat v jiných geografických oblastech, jako je Austrálie. Aby byly v souladu s místními předpisy, musí firmy s globální přítomností zajistit, aby data zůstala uložená v několika oblastech. V prostředcích infrastruktury se tomu říká multi-geo.

Vrstva spouštění dotazů, ukládání dotazů do mezipaměti a data položek přiřazená k pracovnímu prostoru s více geografickými oblastmi zůstávají v geografické oblasti Azure při jejich vytváření. Některá metadata a zpracování se ale ukládají v klidovém stavu v domovské geografické oblasti tenanta.

Prostředky infrastruktury jsou součástí většího ekosystému Microsoftu. Pokud už vaše organizace používá jiné cloudové služby předplatného, jako jsou Azure, Microsoft 365 nebo Dynamics 365, pak Fabric funguje ve stejném tenantovi Microsoft Entra. Vaše organizační doména (například contoso.com) je přidružená k ID Microsoft Entra. Stejně jako všechny cloudové služby Microsoftu.

Prostředky infrastruktury zajišťují zabezpečení dat napříč oblastmi, když pracujete s několika tenanty, kteří mají více kapacit v řadě geografických oblastí.

Přístup k datům

Prostředky infrastruktury řídí přístup k datům pomocí pracovních prostorů. V pracovních prostorech se data zobrazují ve formě položek infrastruktury a uživatelé nemůžou zobrazit nebo používat položky (data), pokud jim neudělíte přístup k pracovnímu prostoru. Další informace o oprávněních pracovních prostorů a položek najdete v modelu oprávnění.

Role pracovního prostoru

Přístup k pracovnímu prostoru je uvedený v následující tabulce. Zahrnuje role pracovního prostoru a zabezpečení Fabric a OneLake. Uživatelé s rolí prohlížeče můžou spouštět dotazy SQL, Data Analysis Expressions (DAX) nebo MDX (Multidimensional Expressions), ale nemají přístup k položkám prostředků infrastruktury ani nemůžou spustit poznámkový blok.

Role Přístup k pracovnímu prostoru Přístup k OneLake
Správce, člen a přispěvatel Může použít všechny položky v pracovním prostoru.
Prohlížející Může zobrazit všechny položky v pracovním prostoru.

Sdílení položek

Položky prostředků infrastruktury můžete sdílet s uživateli ve vaší organizaci, kteří nemají žádnou roli pracovního prostoru. Sdílení položek poskytuje omezený přístup, což uživatelům umožňuje přístup jenom ke sdílené položce v pracovním prostoru.

Omezení přístupu

Přístup prohlížeče k datům můžete omezit pomocí zabezpečení na úrovni řádků (RLS), zabezpečení na úrovni sloupců (CLS) a zabezpečení na úrovni objektů (OLS). Pomocí RLS, CLS a OLS můžete vytvářet identity uživatelů, které mají přístup k určitým částem dat, a omezit výsledky SQL, které vracejí jenom to, k čemu má identita uživatele přístup.

RLS můžete také přidat do datové sady DirectLake. Pokud definujete zabezpečení pro SQL i DAX, DirectLake se vrátí zpět do DirectQuery pro tabulky, které mají zabezpečení na úrovni řádků v SQL. V takových případech jsou výsledky jazyka DAX nebo MDX omezené na identitu uživatele.

Pokud chcete zpřístupnit sestavy využívající datovou sadu DirectLake s RLS bez náhradního režimu DirectQuery, použijte přímé sdílení datových sad nebo aplikace v Power BI. S aplikacemi v Power BI můžete udělit přístup k sestavám bez přístupu prohlížeče. Tento typ přístupu znamená, že uživatelé nemůžou používat SQL. Pokud chcete directLake povolit čtení dat, musíte přepnout přihlašovací údaje ke zdroji dat z Jednotné přihlašování (SSO) na pevnou identitu, která má přístup k souborům v jezeře.

Ochrana dat

Prostředky infrastruktury podporují popisky citlivosti z Microsoft Purview Information Protection. Jedná se o popisky, jako jsou Obecné, Důvěrné a Vysoce důvěrné, které se běžně používají v aplikacích systém Microsoft Office, jako jsou Word, PowerPoint a Excel, k ochraně citlivých informací. V prostředcích infrastruktury můžete klasifikovat položky, které obsahují citlivá data, pomocí stejných popisků citlivosti. Popisky citlivosti pak sledují data automaticky z položky do položky při procházení prostředky infrastruktury až po zdroj dat až po firemního uživatele. Popisek citlivosti se řídí i v případě, že se data exportují do podporovaných formátů, jako jsou PBIX, Excel, PowerPoint a PDF, a zajistí tak, aby vaše data zůstala chráněná. Soubor můžou otevřít jenom oprávnění uživatelé. Další informace najdete v tématu Zásady správného řízení a dodržování předpisů v Microsoft Fabric.

K řízení, ochraně a správě dat můžete použít Microsoft Purview. Microsoft Purview a Fabric spolupracují a umožňují ukládat, analyzovat a řídit vaše data z jednoho umístění, centra Microsoft Purview.

Obnovení dat

Odolnost dat v prostředcích infrastruktury zajišťuje, že jsou vaše data dostupná, pokud dojde k havárii. Prostředky infrastruktury také umožňují obnovit data v případě havárie nebo zotavení po havárii. Další informace naleznete v tématu Spolehlivost v Microsoft Fabric.

Správa prostředků infrastruktury

Jako správce v Prostředcích infrastruktury se dostanete k řízení možností pro celou organizaci. Prostředky infrastruktury umožňují delegování role správce na kapacity, pracovní prostory a domény. Delegováním zodpovědností správce správným lidem můžete implementovat model, který umožňuje několika klíčovým správcům řídit obecná nastavení prostředků infrastruktury v celé organizaci, zatímco jiní správci, kteří mají na starosti nastavení související s konkrétními oblastmi.

Pomocí různých nástrojů můžou správci také monitorovat klíčové aspekty prostředků infrastruktury, jako je spotřeba kapacity.

Protokoly auditu

Pokud chcete zobrazit protokoly auditu, postupujte podle pokynů v tématu Sledování aktivit uživatelů v Microsoft Fabric. Můžete se také podívat na seznam operací a zjistit, které aktivity jsou k dispozici pro vyhledávání v protokolech auditu.

Možnosti

V této části najdete seznam některých funkcí zabezpečení dostupných v Microsoft Fabric.

Schopnost Popis
Podmíněný přístup Zabezpečení aplikací pomocí Microsoft Entra ID
Lockbox Řízení přístupu techniků Microsoftu k vašim datům
Zabezpečení prostředků infrastruktury a OneLake Zjistěte, jak zabezpečit data v prostředcích Fabric a OneLake.
Odolnost Spolehlivost a regionální odolnost se zónami dostupnosti Azure
Značky služeb Povolení služby Azure SQL Managed Instance (MI) pro povolení příchozích připojení z Microsoft Fabric