Основы безопасности Microsoft Fabric

В этой статье представлена общая перспектива архитектуры безопасности Microsoft Fabric, описывающая, как основные потоки безопасности в системе работают. В нем также описывается, как пользователи проходят проверку подлинности в Fabric, как устанавливаются подключения к данным, а также как Структура хранит и перемещает данные через службу.

Эта статья в первую очередь предназначена для администраторов Fabric, которые отвечают за надзор за Fabric в организации. Он также относится к заинтересованным лицам корпоративной безопасности, включая администраторов безопасности, сетевых администраторов, администраторов Azure, администраторов рабочих областей и администраторов баз данных.

Платформа Fabric

Microsoft Fabric — это решение для аналитики с одним интерфейсом для предприятий, охватывающих все, от перемещения данных до обработки и анализа данных, аналитики в режиме реального времени и бизнес-аналитики (BI). Платформа Fabric состоит из ряда служб и компонентов инфраструктуры, поддерживающих общие функциональные возможности для всех интерфейсов Fabric. Вместе они предлагают комплексный набор аналитических возможностей, предназначенных для эффективной работы. Возможности включают Lakehouse, Фабрику данных, Synapse Инжиниринг данных, Хранилище данных Synapse, Power BI и другие.

С помощью Fabric вам не нужно объединять разные службы от нескольких поставщиков. Вместо этого вы используете высоко интегрированный, комплексный и простой продукт, предназначенный для упрощения потребностей аналитики. Структура была разработана с самого начала для защиты конфиденциальных ресурсов.

Платформа Fabric основана на программном обеспечении как услуга (SaaS), которая обеспечивает надежность, простоту и масштабируемость. Она основана на Azure, которая является общедоступной облачной платформой Майкрософт. Традиционно многие продукты данных были платформой как услуга (PaaS), требуя администратора службы настроить безопасность, соответствие и управление для каждой службы. Так как Fabric является службой SaaS, многие из этих функций встроены на платформу SaaS и не требуют установки или минимальной настройки.

Схема архитектуры

На схеме архитектуры ниже показано высокоуровневое представление архитектуры безопасности Fabric.

На схеме показано высокоуровневое представление архитектуры безопасности Fabric.

На схеме архитектуры показаны следующие понятия.

  1. Пользователь использует браузер или клиентское приложение, например Power BI Desktop, для подключения к службе Fabric.

  2. Проверка подлинности обрабатывается идентификатором Microsoft Entra, ранее известным как Azure Active Directory, который является облачной службой управления удостоверениями и доступом, которая проверяет подлинность пользователя или субъекта-службы и управляет доступом к Fabric.

  3. Веб-интерфейс получает запросы пользователей и упрощает вход. Он также направляет запросы и обслуживает интерфейсное содержимое пользователю.

  4. Платформа метаданных хранит метаданные клиента, которые могут включать данные клиента. Службы Fabric запрашивают эту платформу по запросу, чтобы получить сведения о авторизации и авторизовать и проверить запросы пользователей. Он расположен в домашнем регионе клиента.

  5. Клиентская платформа емкости отвечает за операции вычислений и хранение данных клиента, а также находится в регионе емкости. В нем используются основные службы Azure в этом регионе при необходимости для конкретных возможностей Fabric.

Службы инфраструктуры платформы Fabric являются мультитенантными. Существует логическая изоляция между клиентами. Эти службы не обрабатывают сложные входные данные пользователей и все написаны в управляемом коде. Службы платформы никогда не запускают код, написанный пользователем.

Платформа метаданных и платформа емкости внутреннего сервера выполняются в защищенных виртуальных сетях. Эти сети предоставляют ряд безопасных конечных точек в Интернете, чтобы они могли получать запросы от клиентов и других служб. Помимо этих конечных точек службы защищены правилами безопасности сети, которые блокируют доступ из общедоступного Интернета. Обмен данными в виртуальных сетях также ограничен на основе привилегий каждой внутренней службы.

Уровень приложений гарантирует, что клиенты могут получать доступ только к данным из собственного клиента.

Проверка подлинности

Fabric использует идентификатор Microsoft Entra для проверки подлинности пользователей (или субъектов-служб). При проверке подлинности пользователи получают маркеры доступа из идентификатора Microsoft Entra. Fabric использует эти маркеры для выполнения операций в контексте пользователя.

Ключевым компонентом идентификатора Microsoft Entra является условный доступ. Условный доступ гарантирует безопасность клиентов путем применения многофакторной проверки подлинности, позволяя только зарегистрированным устройствам Microsoft Intune получать доступ к определенным службам. Условный доступ также ограничивает расположения пользователей и диапазоны IP-адресов.

Авторизация

Все разрешения Fabric хранятся централизованно платформой метаданных. Службы Fabric запрашивают платформу метаданных по запросу для получения сведений о авторизации и авторизации и проверки запросов пользователей.

По соображениям производительности Структура иногда инкапсулирует сведения о авторизации в подписанные маркеры. Подписанные маркеры выдаются только внутренней платформой емкости, и они включают маркер доступа, сведения о авторизации и другие метаданные.

Место расположения данных

В Fabric клиент назначается кластеру платформы домашних метаданных, который расположен в одном регионе, который соответствует требованиям к месту расположения данных в географическом регионе этого региона. Метаданные клиента, которые могут включать данные клиента, хранятся в этом кластере.

Клиенты могут контролировать расположение рабочих областей . Они могут выбрать расположение рабочих областей в том же географическом регионе, что и кластер платформы метаданных, либо явно, назначив их рабочие области емкостям в этом регионе или неявно с помощью пробной версии Fabric, Power BI Pro или режима лицензии Power BI Premium для каждого пользователя. В последнем случае все данные клиента хранятся и обрабатываются в этом одном географическом регионе. Дополнительные сведения см. в концепциях и лицензиях Microsoft Fabric.

Клиенты также могут создавать емкости с несколькими регионами, расположенными в географических регионах (гео), отличных от их домашнего региона. В этом случае вычислительные ресурсы и хранилище (включая OneLake и хранилище с учетом возможностей) находятся в нескольких географических регионах, однако метаданные клиента остаются в домашнем регионе. Данные клиента будут храниться и обрабатываться только в этих двух географических регионах. Дополнительные сведения см. в разделе "Настройка поддержки нескольких регионов" для Fabric.

Обработка данных

В этом разделе представлен обзор работы обработки данных в Fabric. Он описывает хранение, обработку и перемещение данных клиента.

Неактивные данные

Все хранилища данных Fabric шифруются неактивных с помощью ключей, управляемых Корпорацией Майкрософт. Данные Fabric включают данные клиента, а также системные данные и метаданные.

Хотя данные могут обрабатываться в памяти в незашифрованном состоянии, он никогда не сохраняется в постоянном хранилище в незашифрованном состоянии.

Передаваемые данные

Данные, передаваемые между службы Майкрософт, всегда шифруются по крайней мере tls 1.2. Структура согласовывает протокол TLS 1.3 по возможности. Трафик между службы Майкрософт всегда направляется по глобальной сети Майкрософт.

Входящий обмен данными Fabric также применяет протокол TLS 1.2 и согласовывает протокол TLS 1.3 по возможности. Исходящая связь Fabric с инфраструктурой, принадлежащей клиенту, предпочитает безопасные протоколы, но может вернуться к более старым, небезопасным протоколам (включая TLS 1.0), если новые протоколы не поддерживаются.

Телеметрия

Данные телеметрии используются для обеспечения производительности и надежности платформы Fabric. Хранилище телеметрии платформы Fabric предназначено для соответствия требованиям к данным и правилам конфиденциальности для клиентов во всех регионах, где доступна Структура, включая Европейский союз (ЕС). Дополнительные сведения см. в разделе "Службы границ данных ЕС".

OneLake

OneLake — это единое, единое, логическое озеро данных для всей организации, и оно автоматически подготавливается для каждого клиента Fabric. Он основан на Azure и может хранить любой тип файла, структурированного или неструктурированного. Кроме того, все элементы Fabric, такие как склады и озера, автоматически хранят свои данные в OneLake.

OneLake поддерживает те же api-интерфейсы Azure Data Lake Storage 2-го поколения (ADLS 2-го поколения) и пакеты SDK, поэтому она совместима с существующими приложениями ADLS 2-го поколения, включая Azure Databricks.

Дополнительные сведения см. в разделе "Безопасность Fabric и OneLake".

Безопасность рабочей области

Рабочие области представляют основную границу безопасности для данных, хранящихся в OneLake. Каждая рабочая область представляет отдельный домен или область проекта, в которой команды могут совместно работать с данными. Управление безопасностью в рабочей области путем назначения пользователям ролей рабочей области.

Дополнительные сведения см. в разделе "Безопасность рабочей области" и "Структура" и "OneLake" (безопасность рабочей области).

Безопасность элементов

В рабочей области можно назначать разрешения непосредственно элементам Fabric, таким как склады и озера. Безопасность элементов обеспечивает гибкость предоставления доступа к отдельному элементу Fabric без предоставления доступа ко всей рабочей области. Пользователи могут настраивать разрешения для каждого элемента, предоставляя доступ к элементу или управляя разрешениями элемента.

Ресурсы соответствия требованиям

Служба Fabric регулируется условиями microsoft Online Services и заявлением о конфиденциальности Microsoft Enterprise.

Сведения о расположении обработки данных см. в разделе "Расположение условий обработки данных" условий использования веб-служб Майкрософт и надстройки защиты данных.

Для сведений о соответствии Центр управления безопасностью Майкрософт является основным ресурсом для Fabric. Дополнительные сведения о соответствии см . в предложениях по соответствию требованиям Майкрософт.

Служба Fabric следует жизненному циклу разработки безопасности (SDL), которая состоит из набора строгих методик безопасности, поддерживающих требования к обеспечению безопасности и соответствию требованиям. SDL помогает разработчикам создавать более безопасное программное обеспечение, уменьшая количество уязвимостей и степень серьезности уязвимостей в программном обеспечении, уменьшая затраты на разработку. Дополнительные сведения см. в статье о жизненном цикле разработки безопасности Майкрософт.

Дополнительные сведения о безопасности Fabric см. в следующих ресурсах.