Nozioni fondamentali sulla sicurezza di Microsoft Fabric

Questo articolo presenta una prospettiva generale dell'architettura di sicurezza di Microsoft Fabric tramite la descrizione del funzionamento dei principali flussi di sicurezza nel lavoro di sistema. Descrive anche come gli utenti eseguono l'autenticazione con Fabric, come vengono stabilite le connessioni dati e come Fabric archivia e sposta i dati attraverso il servizio.

L'articolo è rivolto principalmente agli amministratori Fabric, responsabili della supervisione di Fabric nell'organizzazione. È rilevante anche per gli stakeholder della sicurezza aziendale, tra cui amministratori della sicurezza, amministratori di rete, amministratori di Azure, amministratori dell'area di lavoro e amministratori del database.

Piattaforma Fabric

Microsoft Fabric è una soluzione completa di analisi per le aziende che copre tutto il necessario, da spostamento dati a data science e da analisi in tempo reale a business intelligence. La piattaforma Fabric comprende una serie di servizi e componenti dell'infrastruttura che supportano le funzionalità comuni per tutte le esperienze di Fabric. Collettivamente, offrono un set completo di esperienze di analisi progettate per lavorare insieme senza problemi. Le esperienze includono Lakehouse, Data Factory, Ingegneria dei dati Synapse, Synapse Data Warehouse, Power BI e altri.

Con Fabric, non è necessario unire servizi diversi di più fornitori. È invece possibile usufruire di un prodotto end-to-end altamente integrato e facile da usare progettato per semplificare le esigenze di analisi. L'infrastruttura è stata progettata fin dall'inizio per proteggere le risorse sensibili.

La piattaforma Fabric si fonda su una base di software as a service (SaaS), che offre affidabilità, semplicità e scalabilità. Si basa su Azure, che è la piattaforma di cloud computing pubblico di Microsoft. Tradizionalmente, molti prodotti dati sono stati platform as a service (PaaS), che richiedeva a un amministratore del servizio di impostare sicurezza, conformità e governance per ciascun servizio. Poiché Fabric è un servizio SaaS, molte di queste funzionalità sono integrate nella piattaforma SaaS e non richiedono alcuna configurazione o configurazione minima.

Diagramma dell'architettura

Il diagramma dell'architettura seguente mostra una rappresentazione generale dell'architettura di sicurezza dell'infrastruttura.

Il diagramma dell'architettura illustra i concetti seguenti.

1. Un utente usa un browser o un'applicazione client, ad esempio Power BI Desktop, per connettersi al servizio Fabric.

2. L'autenticazione viene gestita da Microsoft Entra ID, precedentemente noto come Azure Active Directory, ovvero il servizio di gestione delle identità e degli accessi basato sul cloud che autentica l'utente o l'entità servizio e gestisce l'accesso a Fabric.

3. Il front-end Web riceve le richieste utente e facilita l'accesso. Instrada anche le richieste e fornisce contenuto front-end all'utente.

4. La piattaforma di metadati archivia i metadati del tenant, che possono includere i dati dei clienti. I servizi dell'infrastruttura eseguono query su richiesta in questa piattaforma per recuperare le informazioni di autorizzazione e per autorizzare e convalidare le richieste degli utenti. Si trova nell'area principale del tenant.

5. La piattaforma di capacità back-end è responsabile delle operazioni di calcolo e dell'archiviazione dei dati dei clienti e si trova nell'area della capacità. Sfrutta i servizi di base di Azure in tale area in base alle esigenze per esperienze specifiche dell'infrastruttura.

I servizi dell'infrastruttura della piattaforma Fabric sono multi-tenant. Esiste un isolamento logico tra i tenant. Questi servizi non elaborano input utente complesso e sono tutti scritti nel codice gestito. I servizi della piattaforma non eseguono mai codice scritto dall'utente.

La piattaforma di metadati e la piattaforma di capacità back-end vengono eseguite in reti virtuali protette. Queste reti espongono una serie di endpoint sicuri a internet in modo che possano ricevere richieste da clienti e altri servizi. Oltre a questi endpoint, i servizi sono protetti da regole di sicurezza di rete che bloccano l'accesso da una rete internet pubblica. La comunicazione all'interno delle reti virtuali è limitata anche in base al privilegio di ogni servizio interno.

Il livello applicativo garantisce che i tenant siano in grado di accedere solo ai dati dall'interno del proprio tenant.

Autenticazione

Fabric si basa su Microsoft Entra ID per autenticare gli utenti (o le entità servizio). Una volta autenticati, gli utenti ricevono token di accesso da Microsoft Entra ID. Fabric usa questi token per eseguire operazioni nel contesto dell'utente.

L'accesso condizionale è una funzionalità chiave di Microsoft Entra ID. L'accesso condizionale garantisce che i tenant siano sicuri applicando l'autenticazione a più fattori, consentendo solo ai dispositivi registrati da Microsoft Intune di accedere a servizi specifici. L'accesso condizionale limita anche le posizioni degli utenti e gli intervalli IP.

Autorizzazione

Tutte le autorizzazioni di Fabric vengono archiviate centralmente dalla piattaforma di metadati. I servizi dell'infrastruttura eseguono query su richiesta in questa piattaforma di metadati per recuperare le informazioni di autorizzazione e per autorizzare e convalidare le richieste degli utenti.

Per motivi di prestazioni, Fabric incapsula talvolta le informazioni di autorizzazione nei token firmati. I token firmati vengono emessi solo dalla piattaforma di capacità back-end e includono il token di accesso, le informazioni di autorizzazione e altri metadati.

Residenza dei dati

In Fabric, un tenant viene assegnato a un cluster della piattaforma di metadati home, che si trova in una singola area che soddisfa i requisiti di residenza dei dati geografici di tale area. I metadati del tenant, che possono includere i dati dei clienti, vengono archiviati in questo cluster.

I clienti possono controllare dove si trovano le loro aree di lavoro. Possono scegliere di individuare le aree di lavoro nella stessa area geografica del cluster della piattaforma di metadati, assegnando in modo esplicito le proprie aree di lavoro alle capacità in tale area o in modo implicito usando la versione di valutazione di Fabric, Power BI Pro o la modalità di licenza Power BI Premium per utente. In quest'ultimo caso, tutti i dati dei clienti vengono archiviati ed elaborati in questa singola area geografica. Per altre informazioni, vedere Nozioni e licenze di Microsoft Fabric.

I clienti possono anche creare Capacità multi-geografiche situate in aree geografiche diverse dalla propria. In questo caso, il calcolo e l'archiviazione (incluso OneLake e l'archiviazione specifica dell'esperienza) si trovano nell'area multi-geografica, mentre i metadati del tenant rimangono nell'area principale. I dati dei clienti verranno archiviati ed elaborati solo in queste due aree geografiche. Per altre informazioni, vedere Configurare il supporto multi-geografico per Fabric.

Trattamento dei dati

Questa sezione offre una panoramica del funzionamento della gestione dei dati in Fabric. Descrive l'archiviazione, l'elaborazione e lo spostamento dei dati dei clienti.

Dati inattivi

Tutti gli archivi dati di Fabric vengono crittografati inattivi usando chiavi gestite da Microsoft. I dati di Fabric includono i dati dei clienti nonché i dati di sistema e i metadati.

Anche se i dati possono essere elaborati in memoria in uno stato non crittografato, non vengono mai salvati in modo stabile nell'archiviazione permanente mentre sono in uno stato non crittografato.

Dati in transito

I dati in movimento tra servizi Microsoft vengono sempre crittografati con almeno archiviazione thread-local (TLS) almeno 1.2. Fabric negozia TLS 1.3, quando possibile. Il traffico tra servizi Microsoft instrada sempre attraverso la rete globale Microsoft.

La comunicazione Fabri in ingresso applica anche TLS 1.2 e negozia a TLS 1.3, ove possibile. La comunicazione Fabric in uscita all'infrastruttura di proprietà del cliente preferisce protocolli sicuri, ma potrebbe eseguire il fallback a protocolli meno recenti e non sicuri (incluso TLS 1.0) quando i protocolli più recenti non sono supportati.

Telemetria

I dati di telemetria vengono usati per mantenere le prestazioni e l'affidabilità della piattaforma Fabric. L'archivio di telemetria della piattaforma Fabric è progettato per essere conforme ai dati e alle normative sulla privacy per i clienti in tutte le aree in cui è disponibile Fabric, inclusa l'Unione europea (UE). Per altre informazioni, vedere EU Data Boundary Services.

OneLake

OneLake è un singolo data lake unificato e logico per l'intera organizzazione ed è sottoposto a provisioning automatico per ogni tenant di Fabric. Si basa su Azure e può archiviare qualsiasi tipo di file, strutturato o non strutturato. Inoltre, tutti gli articoli Fabric, come magazzini e lakehouse, archiviano automaticamente i dati in OneLake.

OneLake supporta le stesse API e SDK di Azure Data Lake Storage Gen2 (ADLS Gen2), pertanto è compatibile con le applicazioni ADLS Gen2 esistenti, incluso Azure Databricks.

Per altre informazioni, vedere Sicurezza di Fabric e OneLake.

Sicurezza dell'area di lavoro

Le aree di lavoro rappresentano il limite di sicurezza principale per i dati archiviati in OneLake. Ogni area di lavoro rappresenta un singolo dominio o area di progetto in cui i team possono collaborare ai dati. La sicurezza nell'area di lavoro viene gestita assegnando gli utenti ai ruoli dell'area di lavoro.

Per altre informazioni, vedere Sicurezza di Fabric e OneLake (sicurezza dell'area di lavoro).

Sicurezza articoli

All'interno di un'area di lavoro è possibile assegnare le autorizzazioni direttamente agli articoli di Fabric, ad esempio magazzini e lakehouse. La sicurezza degli elementi offre la flessibilità necessaria per concedere l'accesso a un singolo elemento Fabric senza concedere l'accesso all'intera area di lavoro. Gli utenti possono configurare le autorizzazioni per elemento condividendo un elemento o gestendo le autorizzazioni di un elemento.

Risorse di conformità

Il servizio Fabric è disciplinato dalle Condizioni di Microsoft Online Services e dall'Informativa sulla privacy di Microsoft.

Per la posizione di elaborazione dei dati, fare riferimento alle condizioni sulla posizione di elaborazione dei dati nelle Condizioni di Microsoft Online Services e nell'Addendum sulla protezione dati.

Per informazioni sulla conformità, il Centro protezione Microsoft rappresenta la risorsa principale per Fabric. Per altre informazioni sulla conformità, vedere le offerte di conformità Microsoft.

Il servizio Fabric segue il Security Development Lifecycle (SDL), che è costituito da un set di rigide procedure di protezione che supportano i requisiti di sicurezza e conformità. SDL consente agli sviluppatori di creare software più sicuro riducendo il numero e la gravità delle vulnerabilità nel software e diminuendo al contempo i costi di sviluppo. Per altre informazioni, vedere le Pratiche per il Microsoft Security Development Lifecycle.

Contenuto correlato

Per altre informazioni sulla sicurezza del servizio Fabric, vedere le risorse seguenti.

• Sicurezza del servizio Microsoft Fabric
• Scenario di sicurezza end-to-end di Microsoft Fabric
• Panoramica della protezione di OneLake
• Nozioni e licenze di Microsoft Fabric
• Domande? Provare a chiederle alla community di Microsoft Fabric.
• Suggerimenti? Contribuire con idee al miglioramento di Fabric.