Proteja o tráfego de entrada

  • Artigo

O tráfego de entrada é o tráfego que entra no Fabric a partir da Internet. Este artigo explica as diferenças entre as duas maneiras de proteger o tráfego de entrada no Microsoft Fabric, em links privados e no Acesso condicional ao Entra. Use este artigo para decidir qual método é melhor para sua organização.

  • Links privados (Opção 1, VNet do cliente): o Fabric usa um endereço IP privado da sua rede virtual. O ponto de extremidade permite que os usuários em sua rede se comuniquem com o Fabric pelo endereço IP privado usando links privados.

  • Acesso condicional ao Entra (Opção 2), Usuário): quando um usuário autentica, o acesso é determinado com base em um conjunto de políticas que podem incluir endereço IP, local e dispositivos gerenciados.

Um diagrama mostrando dois métodos de autenticação para tráfego de entrada no Fabric, Vnets e Microsoft Entra ID.

Depois que o tráfego entra no Fabric, ele é autenticado pelo Microsoft Entra ID, que é o mesmo método de autenticação usado pelo Microsoft 365, OneDrive e Dynamics 365. A autenticação do Microsoft Entra ID permite que os usuários se conectem com segurança a aplicativos de nuvem de qualquer dispositivo e rede, estejam eles em casa, remotamente ou em seu escritório corporativo.

A plataforma de back-end Fabric é protegida por uma rede virtual e não é diretamente acessível a partir da Internet pública, exceto por meio de pontos de extremidade seguros. Para entender como o tráfego é protegido no Fabric, consulte o diagrama de arquitetura do Fabric.

Por padrão, o Fabric se comunica entre experiências usando a rede interna de backbone da Microsoft. Quando um relatório do Power BI carrega dados do OneLake, os dados passam pela rede interna da Microsoft. Essa configuração é diferente de ter que configurar vários serviços PaaS (plataforma como serviço) para se conectarem uns aos outros por meio de uma rede privada. A comunicação de entrada entre clientes, como seu navegador ou o SQL Server Management Studio (SSMS) e o Fabric, usa o protocolo TLS 1.2 e negocia com o TLS 1.3 quando possível.

As configurações de segurança padrão do Fabric incluem:

  • Microsoft Entra ID que é usado para autenticar cada solicitação.

  • Após a autenticação bem-sucedida, as solicitações são roteadas para o serviço de back-end apropriado por meio de pontos de extremidade gerenciados seguros da Microsoft.

  • O tráfego interno entre as experiências no Fabric é roteado pelo backbone da Microsoft.

  • O tráfego entre clientes e o Fabric é criptografado usando pelo menos o protocolo TLS (Transport Layer Security) 1.2.

Acesso condicional do Entra

Cada interação com o Fabric é autenticada com o Microsoft Entra ID. O Microsoft Entra ID é baseado no modelo de segurança Confiança Zero , que pressupõe que você não tem proteção total no perímetro de rede da sua organização. Em vez de olhar para sua rede como um marco de delimitação de segurança, a Confiança Zero analisa a identidade como o perímetro principal para a segurança.

Para determinar o acesso no momento da autenticação, você pode definir e impor políticas de acesso condicional com base na identidade dos usuários, no contexto de dispositivo, no local, na rede e na sensibilidade do aplicativo. Por exemplo, você pode exigir autenticação multifator, conformidade de dispositivo ou aplicativos aprovados para acessar seus dados e recursos no Fabric. Você também pode bloquear ou limitar o acesso de locais, dispositivos ou redes arriscados.

As políticas de acesso condicional ajudam a proteger seus dados e aplicativos sem comprometer a produtividade e a experiência do usuário. Aqui estão alguns exemplos de restrições de acesso que você pode impor usando o acesso condicional.

  • Defina uma lista de IPs para conectividade de entrada com o Fabric.

  • Usar a MFA (autenticação multifator).

  • Restrinja o tráfego com base em parâmetros como país de origem ou tipo de dispositivo.

O Fabric não oferece suporte a outros métodos de autenticação, como chaves de conta ou autenticação SQL, que dependem de nomes de usuário e senhas.

Configurar o acesso condicional

Para configurar o acesso condicional no Fabric, você precisa selecionar vários serviços do Azure relacionados ao Fabric, como o Power BI, o Azure Data Explorer, o Banco de Dados SQL do Azure e o Armazenamento do Azure.

Observação

O acesso condicional pode ser considerado muito amplo para alguns clientes, pois qualquer política será aplicada ao Fabric e aos serviços do Azure relacionados.

Licenciamento

O Acesso Condicional requer licenças do Microsoft Entra ID P1. Muitas vezes, essas licenças já estão disponíveis em sua organização porque são compartilhadas com outros produtos da Microsoft, como o Microsoft 365. Para encontrar a licença certa para seus requisitos, consulte Requisitos de licença.

Acesso confiável

O Fabric não precisa residir em sua rede privada, mesmo quando você tem seus dados armazenados dentro de uma. Com os serviços de PaaS, é comum colocar a computação na mesma rede privada que a conta de armazenamento. No entanto, com o Fabric isso não é necessário. Para habilitar o acesso confiável ao Fabric, você pode usar recursos como gateways de dados locais, acesso a espaço de trabalho confiável e pontos de extremidade privados gerenciados. Para obter mais informações, consulte Segurança no Microsoft Fabric.

Com pontos de extremidade privados, seu serviço recebe um endereço IP privado da sua rede virtual. O ponto de extremidade permite que outros recursos na rede se comuniquem com o serviço pelo endereço IP privado.

Usando links privados, um túnel do serviço para uma de suas sub-redes cria um canal privado. A comunicação de dispositivos externos viaja de seu endereço IP para um ponto de extremidade privado nessa sub-rede, através do túnel e para o serviço.

Após a implementação de links privados, o Fabric não é mais acessado pela Internet pública. Para acessar o Fabric, todos os usuários precisam se conectar por meio da rede privada. A rede privada é necessária para todas as comunicações com o Fabric, incluindo a exibição de um relatório do Power BI no navegador e o uso do SQL Server Management Studio (SSMS) para se conectar a uma cadeia de conexão do SQL como <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Redes locais

Se você estiver usando redes locais, poderá estendê-las para a Rede Virtual do Azure (VNet) usando um circuito ExpressRoute ou uma VPN site a site para acessar o Fabric usando conexões privadas.

Largura de banda

Com links privados, todo o tráfego para o Fabric trafega pelo ponto de extremidade privado, causando possíveis problemas de largura de banda. Os usuários não podem mais carregar recursos globais distribuídos não relacionados a dados, como imagens .css e arquivos .html usados pelo Fabric, de sua região. Esses recursos são carregados do local do ponto de extremidade privado. Por exemplo, para usuários australianos com um ponto de extremidade privado dos EUA, o tráfego passa pelos EUA primeiro. Isso aumenta os tempos de carregamento e pode reduzir o desempenho.

Custo

O custo de links privados e o aumento da largura de banda da ExpressRoute para permitir conectividade privada de sua rede podem adicionar custos à sua organização.

Considerações e limitações

Com links privados, você está fechando o Fabric para a internet pública. Como resultado, há muitas considerações e limitações que você precisa levar em conta.

Conteúdo relacionado