Proteja dados com o Fabric, mecanismos de computação e OneLake

O Fabric oferece um modelo de segurança em várias camadas para gerenciar o acesso aos dados. A segurança pode ser definida para um espaço de trabalho inteiro, para itens individuais ou por meio de permissões granulares em cada mecanismo do Fabric. O OneLake tem suas próprias considerações de segurança descritas neste documento.

Funções de acesso a dados do OneLake (Visualização)

As funções de acesso a dados do OneLake (Visualização) permitem que os usuário criem funções personalizadas em um lakehouse para conceder permissões de leitura apenas às pastas especificadas ao acessar o OneLake. Os usuários podem atribuir usuários, grupos de segurança ou conceder uma atribuição automática com base na função de espaço de trabalho para cada função do OneLake.

Diagrama mostrando a estrutura de um data lake conectando-se a contêineres protegidos separadamente.

Saiba mais sobre o Modelo de controle de acesso a dados do OneLake e a Introdução ao acesso a dados.

Segurança de atalho

Os atalhos no Microsoft Fabric permitem o gerenciamento simplificado de dados. A segurança da pasta do OneLake se aplica aos atalhos do OneLake com base nas funções definidas no lakehouse no qual os dados são armazenados.

Para obter mais informações sobre as considerações de segurança dos atalhos, confira Modelo de controle de acesso do OneLake. Encontre mais informações sobre atalhos aqui.

Autenticação

O OneLake usa o Microsoft Entra ID para autenticação. Você pode usá-lo para conceder permissões a identidades de usuário e entidades de serviço. O OneLake extrai automaticamente a identidade do usuário das ferramentas, que usam a autenticação do Microsoft Entra e a mapeia para as permissões definidas no portal do Fabric.

Observação

Para usar entidades de serviço em um locatário do Fabric, um administrador de locatários deve habilitar Nomes de Entidade de Serviço (SPNs) para todo o locatário ou grupos de segurança específicos. Saiba mais sobre como habilitar as Entidades de serviço nas Configurações do desenvolvedor do portal de administrador de locatários

Dados inativos

Os dados armazenados no OneLake são criptografados em repouso por padrão usando a chave gerenciada pela Microsoft. As chaves gerenciadas pela Microsoft são giradas adequadamente. Os dados OneLake são criptografados e descriptografados de maneira transparente e estão em conformidade com o FIPS 140-2.

Atualmente, não há suporte para criptografia em repouso usando a chave gerenciada pelo cliente. Você pode enviar uma solicitação para esse recurso no Microsoft Fabric Ideas.

Dados em trânsito

Os dados em trânsito na Internet pública entre os serviços Microsoft sempre são criptografados ao menos com TLS 1.2. O Fabric negocia com o TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft sempre é roteado pela rede global da Microsoft.

A comunicação de entrada do OneLake também impõe o TLS 1.2 e negocia para o TLS 1.3, sempre que possível. A comunicação de saída do Fabric para a infraestrutura de propriedade do cliente prefere protocolos seguros, mas pode retornar para protocolos mais antigos e inseguros (incluindo TLS 1.0) quando não houver compatibilidade com protocolos mais recentes.

Atualmente, o Fabric não oferece suporte ao acesso de link privado aos dados do OneLake por meio de produtos que não sejam do Fabric e do Apache Spark.

Permitir que aplicativos em execução fora do Fabric acessem dados por meio do OneLake

O OneLake fornece a capacidade de restringir o acesso a dados de aplicativos em execução fora dos ambientes do Fabric. Os administradores podem encontrar a configuração na seção OneLake do portal de administrador de locatários. Quando você ativa esse comutador, os usuários podem acessar dados por meio de todas as fontes. Quando você desativa o desativamento, os usuários não podem acessar dados por meio de aplicativos em execução fora dos ambientes do Fabric. Por exemplo, os usuários podem acessar os dados por meio de aplicativos usando as APIs do Azure Data Lake Storage (ADLS) ou o explorador de arquivos do OneLake.