Безопасность в Microsoft Fabric

Microsoft Fabric — это программное обеспечение как услуга (SaaS), которая позволяет пользователям получать, создавать, предоставлять общий доступ и визуализировать данные.

В качестве службы SaaS Fabric предлагает полный пакет безопасности для всей платформы. Структура удаляет затраты и ответственность за обслуживание решения для обеспечения безопасности и передает его в облако. С помощью Fabric вы можете использовать опыт и ресурсы Корпорации Майкрософт для обеспечения безопасности данных, уязвимостей исправлений, мониторинга угроз и соблюдения нормативных требований. Структура также позволяет управлять параметрами безопасности и управлять ими в соответствии с изменяющимися потребностями и требованиями.

При переносе данных в облако и их использовании с различными аналитическими функциями, такими как Power BI, Фабрика данных и следующее поколение Synapse, корпорация Майкрософт гарантирует, что встроенные функции безопасности и надежности обеспечивают защиту неактивных и передаваемых данных. Корпорация Майкрософт также гарантирует, что ваши данные можно восстановить в случаях сбоев инфраструктуры или аварий.

Безопасность структуры:

  • Always on — каждое взаимодействие с Fabric шифруется по умолчанию и проходит проверку подлинности с помощью идентификатора Microsoft Entra. Все взаимодействие между структурами проходит через магистральный интернет Майкрософт. Неактивные данные автоматически хранятся в зашифрованном виде. Чтобы регулировать доступ к Fabric, можно добавить дополнительные функции безопасности, такие как Приватный канал или условный доступ Entra. Структура также может подключаться к данным, защищенным брандмауэром или частной сетью, с помощью доверенного доступа.

  • Соответствие требованиям . Структура имеет суверенитет данных из коробки с несколькими географическими емкостями. Fabric также поддерживает широкий спектр стандартов соответствия.

  • Управление — Структура поставляется с набором средств управления, таких как происхождение данных, метки защиты информации, предотвращение потери данных и интеграция purview.

  • Можно настроить безопасность Fabric в соответствии с политиками организации.

  • Развитие — Корпорация Майкрософт постоянно улучшает безопасность Fabric, добавляя новые функции и элементы управления.

Аутентификация

Microsoft Fabric — это платформа SaaS, как и многие другие службы Майкрософт, такие как Azure, Microsoft Office, OneDrive и Dynamics. Все эти службы Microsoft SaaS, включая Fabric, используют идентификатор Microsoft Entra в качестве поставщика облачных удостоверений. Идентификатор Microsoft Entra помогает пользователям быстро и легко подключаться к этим службам с любого устройства и любой сети. Каждый запрос на подключение к Fabric проходит проверку подлинности с помощью идентификатора Microsoft Entra, позволяя пользователям безопасно подключаться к Fabric из корпоративного офиса, при работе дома или из удаленного расположения.

понимать сетевую безопасность;

Fabric — это служба SaaS, которая выполняется в облаке Майкрософт. Некоторые сценарии включают подключение к данным, которые находятся за пределами платформы Fabric. Например, просмотр отчета из собственной сети или подключение к данным, которые находится в другой службе. Взаимодействие в Fabric использует внутреннюю сеть Майкрософт и трафик за пределами службы по умолчанию. Дополнительные сведения и подробное описание см. в разделе "Данные во время передачи".

Безопасность входящего сетевого трафика

Вашей организации может потребоваться ограничить и защитить сетевой трафик, поступающий в Fabric на основе требований вашей компании. С помощью условного доступа и Приватный канал идентификатора Microsoft Entra можно выбрать подходящее решение для входящего трафика для вашей организации.

Условный доступ идентификатора Microsoft Entra

Идентификатор Microsoft Entra предоставляет Fabric условный доступ , который позволяет защитить доступ к Fabric на каждом подключении. Ниже приведены несколько примеров ограничений доступа, которые можно применить с помощью условного доступа.

  • Определите список IP-адресов для входящего подключения к Fabric.

  • Используйте многофакторную проверку подлинности (MFA).

  • Ограничить трафик на основе параметров, таких как страна происхождения или тип устройства.

Сведения о настройке условного доступа см. в статье "Условный доступ" в Fabric.

Дополнительные сведения о проверке подлинности в Fabric см. в разделе "Основы безопасности Microsoft Fabric".

Приватные каналы обеспечивают безопасное подключение к Fabric, ограничивая доступ к клиенту Fabric из виртуальной сети Azure и блокируя весь общедоступный доступ. Это гарантирует, что только сетевой трафик из этой виртуальной сети разрешен для доступа к функциям Fabric, таким как записные книжки, Lakehouses, хранилища данных и базы данных в клиенте.

Сведения о настройке Приватный канал в Fabric см. в статье "Настройка и использование приватных ссылок".

Безопасность исходящей сети

Fabric имеет набор средств, позволяющих подключаться к внешним источникам данных и безопасно переносить эти данные в Fabric. В этом разделе перечислены различные способы импорта и подключения к данным из безопасной сети в структуру.

Доступ к доверенной рабочей области

С помощью Fabric можно безопасно получить доступ к учетным записям Azure Data Lake 2-го поколения. Рабочие области Fabric с удостоверением рабочей области могут безопасно получать доступ к учетным записям Azure Data Lake 2-го поколения с включенным общедоступным доступом к сети из выбранных виртуальных сетей и IP-адресов. Вы можете ограничить доступ ADLS 2-го поколения к определенным рабочим областям Fabric. Дополнительные сведения см. в разделе "Доверенный доступ к рабочей области".

Ескерім

Удостоверения рабочей области Fabric можно создавать только в рабочих областях, связанных с емкостью SKU Fabric F. Сведения о покупке подписки Fabric см. в статье "Приобретение подписки Microsoft Fabric".

Управляемые частные конечные точки

Управляемые частные конечные точки позволяют безопасно подключаться к источникам данных, таким как базы данных SQL Azure, не предоставляя их общедоступной сети или требуя сложных конфигураций сети.

Управляемые виртуальные сети

Управляемые виртуальные сети — это виртуальные сети , созданные и управляемые Microsoft Fabric для каждой рабочей области Fabric. Управляемые виртуальные сети обеспечивают изоляцию сети для рабочих нагрузок Fabric Spark, то есть вычислительные кластеры развертываются в выделенной сети и больше не являются частью общей виртуальной сети.

Управляемые виртуальные сети также обеспечивают функции безопасности сети, такие как управляемые частные конечные точки, а также поддержку приватного канала для Инжиниринг данных и Обработка и анализ данных элементов в Microsoft Fabric, использующих Apache Spark.

Шлюз данных

Чтобы подключиться к локальным источникам данных или источнику данных, которые могут быть защищены брандмауэром или виртуальной сетью, можно использовать один из следующих вариантов:

  • Локальный шлюз данных — шлюз выступает в качестве моста между локальными источниками данных и Fabric. Шлюз устанавливается на сервере в сети и позволяет Fabric подключаться к источникам данных через безопасный канал без необходимости открывать порты или вносить изменения в сеть.

  • Шлюз данных виртуальной сети — шлюз виртуальной сети позволяет подключаться из служб Microsoft Cloud к службам данных Azure в виртуальной сети без необходимости локального шлюза данных.

Подключение к OneLake из существующей службы

Вы можете подключиться к Fabric с помощью существующей службы Платформы Azure как службы (PaaS). Для Synapse и Фабрика данных Azure (ADF) можно использовать среду выполнения интеграции Azure (IR) или Фабрика данных Azure управляемую виртуальную сеть. Вы также можете подключиться к этим службам и другим службам, таким как потоки данных сопоставления, кластеры Synapse Spark, кластеры Databricks Spark и Azure HDInsight с помощью API OneLake.

Теги службы Azure

Используйте теги службы для приема данных без использования шлюзов данных из источников данных, развернутых в виртуальной сети Azure, таких как Виртуальные машины SQL Azure (виртуальные машины), Управляемый экземпляр SQL Azure (MI) и REST API. Теги служб также можно использовать для получения трафика из виртуальной сети или брандмауэра Azure. Например, теги служб могут разрешать исходящий трафик в Fabric, чтобы пользователь на виртуальной машине смог подключиться к строка подключения Fabric SQL из SSMS, а также запретить доступ к другим общедоступным интернет-ресурсам.

Списки разрешенных IP-адресов

Если у вас есть данные, которые не находятся в Azure, вы можете включить список разрешений IP-адресов в сети вашей организации, чтобы разрешить трафик в Fabric и из Нее. Список разрешений IP-адресов полезен, если необходимо получить данные из источников данных, которые не поддерживают теги служб, например локальные источники данных. С помощью этих сочетаний клавиш вы можете получить данные без копирования в OneLake с помощью конечной точки аналитики SQL Lakehouse или Direct Lake.

Список IP-адресов Fabric можно получить из тегов служб в локальной среде. Список доступен в виде JSON-файла или программно с помощью REST API, PowerShell и интерфейс командной строки Azure (CLI).

Обеспечение безопасности данных

В Fabric все данные, хранящиеся в OneLake, шифруются неактивных данных. Все неактивные данные хранятся в вашем домашнем регионе или в одном из ваших емкостей в удаленном регионе, чтобы обеспечить соответствие неактивных данных нормативным требованиям о суверенитете. Дополнительные сведения см. в разделе "Основы безопасности Microsoft Fabric".

Общие сведения о клиентах в нескольких географических регионах

Многие организации имеют глобальное присутствие и требуют служб в нескольких географических регионах Azure. Например, компания может иметь свою штаб-квартиру в США, выполняя бизнес в других географических районах, таких как Австралия. Чтобы соответствовать местным нормативным требованиям, предприятиям с глобальным присутствием необходимо обеспечить хранение данных в неактивных местах в нескольких регионах. В Fabric это называется несколькими географическими.

Уровень выполнения запросов, кэши запросов и данные элементов, назначенные рабочей области с несколькими регионами, остаются в географической области Azure. Однако некоторые метаданные и обработка хранятся в неактивных данных в домашней географической области клиента.

Структура является частью более крупной экосистемы Майкрософт. Если ваша организация уже использует другие облачные службы подписки, такие как Azure, Microsoft 365 или Dynamics 365, Fabric работает в том же клиенте Microsoft Entra. Домен организации (например, contoso.com) связан с идентификатором Microsoft Entra. Как и все облачные службы Майкрософт.

Структура гарантирует безопасность данных в разных регионах при работе с несколькими клиентами, имеющими несколько емкостей в нескольких географических регионах.

Доступ к данным

Структура управляет доступом к данным с помощью рабочих областей. В рабочих областях данные отображаются в виде элементов Fabric, и пользователи не могут просматривать или использовать элементы (данные), если вы не предоставляете им доступ к рабочей области. Дополнительные сведения о разрешениях рабочей области и элемента см. в модели разрешений.

Роли рабочей области

Доступ к рабочей области указан в таблице ниже. Она включает роли рабочей области и безопасность Fabric и OneLake. Пользователи с ролью средства просмотра могут запускать запросы SQL, анализа данных (DAX) или многомерных выражений, но не могут получить доступ к элементам Fabric или запустить записную книжку.

Роль Доступ к рабочей области Доступ OneLake
Администратор, член и участник Может использовать все элементы в рабочей области
Наблюдатель Просмотреть все элементы в рабочей области

Общий доступ к элементам

Вы можете совместно использовать элементы Fabric с пользователями в вашей организации, у которых нет роли рабочей области. Элементы общего доступа предоставляют ограниченный доступ, позволяя пользователям получать доступ только к общему элементу в рабочей области.

Ограничить доступ

Вы можете ограничить доступ средства просмотра к данным с помощью безопасности на уровне строк (RLS), безопасности на уровне столбцов (CLS) и безопасности на уровне объектов (OLS). С помощью RLS, CLS и OLS можно создать удостоверения пользователей, имеющие доступ к определенным частям данных, и ограничить результаты SQL, возвращая только доступ к удостоверениям пользователя.

Вы также можете добавить RLS в набор данных DirectLake. Если вы определяете безопасность для SQL и DAX, DirectLake возвращается в DirectQuery для таблиц с RLS в SQL. В таких случаях результаты DAX или многомерных выражений ограничены удостоверением пользователя.

Чтобы предоставлять отчеты с помощью набора данных DirectLake с RLS без резервного использования DirectQuery, используйте прямой общий доступ к набору данных или приложения в Power BI. С помощью приложений в Power BI вы можете предоставить доступ к отчетам без доступа к просмотру. Такой доступ означает, что пользователи не могут использовать SQL. Чтобы Включить DirectLake для чтения данных, необходимо переключить учетные данные источника данных с Единый вход (SSO) на фиксированное удостоверение, которое имеет доступ к файлам в озере.

Защита данных

Fabric поддерживает метки конфиденциальности из Защита информации Microsoft Purview. Это метки, такие как общие, конфиденциальные и строго конфиденциальные, которые широко используются в microsoft Приложение Office, таких как Word, PowerPoint и Excel для защиты конфиденциальной информации. В Fabric можно классифицировать элементы, содержащие конфиденциальные данные, с помощью этих же меток конфиденциальности. Метки конфиденциальности затем автоматически следуют данным из элемента в элемент, так как он проходит через Fabric, вплоть до источника данных до бизнес-пользователя. Метка конфиденциальности следует, даже если данные экспортируются в поддерживаемые форматы, такие как PBIX, Excel, PowerPoint и PDF, обеспечивая защиту данных. Только авторизованные пользователи могут открыть файл. Дополнительные сведения см. в разделе "Управление и соответствие требованиям" в Microsoft Fabric.

Чтобы помочь вам управлять, защищать и управлять данными, можно использовать Microsoft Purview. Microsoft Purview и Fabric совместно позволяют хранить, анализировать и управлять данными из одного расположения, центра Microsoft Purview.

Восстановление данных

Устойчивость данных структуры гарантирует доступность данных в случае аварии. Fabric также позволяет восстановить данные в случае аварии, аварийного восстановления. Дополнительные сведения см. в разделе "Надежность" в Microsoft Fabric.

Администрирование Fabric

Администратор в Fabric позволяет управлять возможностями всей организации. Структура позволяет делегирование роли администратора емкостям, рабочим областям и доменам. Делегируя обязанности администратора правильным пользователям, вы можете реализовать модель, которая позволяет нескольким ключевым администраторам управлять общими параметрами Fabric в организации, а другие администраторы, отвечающие за параметры, связанные с конкретными областями.

С помощью различных средств администраторы также могут отслеживать ключевые аспекты Структуры, такие как потребление емкости.

Журналы аудита

Чтобы просмотреть журналы аудита, следуйте инструкциям в разделе "Отслеживание действий пользователей в Microsoft Fabric". Вы также можете ознакомиться со списком операций, чтобы узнать, какие действия доступны для поиска в журналах аудита.

Возможности

В этом разделе приведен список некоторых функций безопасности, доступных в Microsoft Fabric.

Возможность Description
Условный доступ Защита приложений с помощью идентификатора Microsoft Entra
Защищенное хранилище Управление доступом инженеров Майкрософт к данным
Безопасность Fabric и OneLake Узнайте, как защитить данные в Fabric и OneLake.
Устойчивость Надежность и региональная устойчивость с зонами доступности Azure
Теги служб Включение Управляемый экземпляр SQL Azure (MI) для разрешения входящих подключений из Microsoft Fabric