Microsoft Fabric uçtan uca güvenlik senaryosu

Güvenlik, özellikle hassas veya gizli veriler içerdiğinde tüm veri analizi çözümlerinin önemli bir yönüdür. Bu nedenle Microsoft Fabric, bekleyen ve aktarımdaki verilerinizi korumanın yanı sıra kullanıcılarınız ve uygulamalarınız için erişimi ve izinleri denetlemenizi sağlayan kapsamlı bir güvenlik özellikleri kümesi sağlar.

Bu makalede Doku ile kendi analitik çözümünüzü güvenle oluşturmanıza yardımcı olabilecek Doku güvenlik kavramları ve özellikleri hakkında bilgi edineceksiniz.

Background

Bu makalede, Birleşik Devletler bir sağlık kuruluşunda çalışan bir veri mühendisi olduğunuz bir senaryo sunulur. Kuruluş, elektronik sağlık kayıtları, laboratuvar sonuçları, sigorta talepleri ve giyilebilir cihazlar gibi çeşitli sistemlerden alınan hasta verilerini toplar ve analiz eder.

Fabric'te üç katmandan oluşan madalyon mimarisini kullanarak bir göl evi oluşturmayı planlıyorsunuz: bronz, gümüş ve altın.

  • Bronz katman, ham verileri veri kaynaklarından geldikçe depolar.
  • Gümüş katman , verileri analize hazırlamak için veri kalitesi denetimleri ve dönüştürmeleri uygular.
  • Altın katman , raporlama ve görselleştirme için toplu ve zenginleştirilmiş veriler sağlar.

Bazı veri kaynakları şirket içi ağınızda bulunurken, diğerleri güvenlik duvarlarının arkasındadır ve güvenli, kimliği doğrulanmış erişim gerektirir. Azure'da yönetilen Azure SQL Veritabanı ve Azure Depolama gibi bazı veri kaynakları da vardır. Bu Azure veri kaynaklarına verileri genel İnternet'te kullanıma sunmayan bir şekilde bağlanmanız gerekir.

Verilerinizi bulutta güvenli bir şekilde alabildiği, depoladığı, işleyebildiği ve analiz ettiği için Fabric'i kullanmaya karar verdiniz. Önemli olan, endüstrinizin düzenlemelerine ve kuruluşunuzun ilkelerine uyum sağlarken bunu yapar.

Doku bir hizmet olarak yazılım (SaaS) olduğundan, depolama veya işlem kaynakları gibi tek tek kaynakları sağlamanız gerekmez. Tek ihtiyacınız olan bir Doku kapasitesidir.

Veri erişim gereksinimlerini ayarlamanız gerekir. Özellikle, yalnızca sizin ve veri mühendislerinizin lakehouse'un bronz ve gümüş katmanlarındaki verilere erişebildiğinden emin olmanız gerekir. Bu katmanlar veri temizleme, doğrulama, dönüştürme ve zenginleştirme gerçekleştirmeyi planladığınız katmanlardır. Ayrıca altın katmandaki verilere erişimi kısıtlamanız gerekir. Yalnızca veri analistleri ve iş kullanıcıları dahil olmak üzere yetkili kullanıcıların altın katmana erişimi olmalıdır. Verileri raporlama, makine öğrenmesi ve tahmine dayalı analiz gibi çeşitli analitik amaçlarla kullanmak için bu erişime ihtiyaç duyarlar. Veri erişiminin kullanıcının rolü ve bölümü tarafından daha da kısıtlanması gerekir.

Dokuya bağlanma (gelen koruma)

İlk olarak, sizin ve diğer kullanıcıların nasıl oturum açabileceğiniz ve Doku'ya nasıl erişebileceğinizle ilgili gelen korumayı ayarlarsınız.

Doku bir Microsoft Entra kiracısına dağıtıldığından, kimlik doğrulaması ve yetkilendirme Microsoft Entra tarafından işlenir. Microsoft Entra kuruluş hesabıyla (iş veya okul hesabı) oturum açarsınız. Ardından, diğer kullanıcıların Doku'ya nasıl bağlanacağını göz önünde bulunduracaksınız.

Microsoft Entra kiracısı, BT departmanınızın denetimi altında olan bir kimlik güvenlik sınırıdır . Bu güvenlik sınırı içinde, Microsoft Entra nesnelerinin yönetimi (kullanıcı hesapları gibi) ve kiracı genelinde ayarların yapılandırması BT yöneticileriniz tarafından gerçekleştirilir. Tüm SaaS hizmetlerinde olduğu gibi Fabric de kiracıları mantıksal olarak yalıtıyor. Kiracınızdaki verilere ve kaynaklara, bunları açıkça yetkilendirmediğiniz sürece diğer kiracılar erişemez.

Kullanıcı Doku'da oturum açtığında aşağıdakiler olur.

Diyagram, Doku güvenlik mimarisinin üst düzey bir gösterimini gösterir. Diyagramdaki öğeler aşağıdaki tabloda açıklanmıştır.

Kalem Açıklama
Öğe 1. Kullanıcı bir tarayıcı (veya istemci uygulaması) açar ve Doku portalında oturum açar.
Öğe 2. Kullanıcı hemen Microsoft Entra Id'ye yönlendirilir ve kimlik doğrulaması gerekir. Kimlik doğrulaması, oturum açma işleminin doğru kişi olduğunu doğrular.
Öğe 3. Kimlik doğrulaması başarılı olduktan sonra web ön ucu kullanıcının isteğini alır ve ön uç (HTML ve CSS) içeriğini en yakın konumdan teslim eder. Ayrıca isteği meta veri platformuna ve arka uç kapasite platformuna yönlendirir.
Öğe 4. Kiracınızın ana bölgesinde bulunan meta veri platformu, kiracınızın çalışma alanları ve erişim denetimleri gibi meta verilerini depolar. Bu platform, kullanıcının ilgili çalışma alanlarına ve Doku öğelerine erişme yetkisine sahip olmasını sağlar.
Öğe 5. Arka uç kapasite platformu işlem işlemleri gerçekleştirir ve verilerinizi depolar. Kapasite bölgesinde bulunur. Bir çalışma alanı Doku kapasitesine atandığında, OneLake veri gölü de dahil olmak üzere çalışma alanında bulunan tüm veriler kapasite bölgesinde depolanır ve işlenir.

Meta veri platformu ve arka uç kapasite platformu güvenli sanal ağlarda çalışır. Bu ağlar, kullanıcılardan ve diğer hizmetlerden istek alabilmeleri için bir dizi güvenli uç noktayı İnternet'te kullanıma sunar. Bu uç noktaların dışında hizmetler, genel İnternet'ten erişimi engelleyen ağ güvenlik kurallarıyla korunur.

Kullanıcılar Doku'da oturum açarken diğer koruma katmanlarını zorunlu kılabilir. Bu şekilde, kiracınıza yalnızca belirli kullanıcılar erişebilir ve ağ konumu ve cihaz uyumluluğu gibi diğer koşullar karşılandığında. Bu koruma katmanına gelen koruma adı verilir.

Bu senaryoda Doku'daki hassas hasta bilgilerinde sorumlusunuz. Bu nedenle kuruluşunuz, Doku'ya erişen tüm kullanıcıların çok faktörlü kimlik doğrulaması (MFA) gerçekleştirmesini ve şirket ağında olmaları gerektiğini zorunlu kılmıştır; yalnızca kullanıcı kimliğinin güvenliğini sağlamak yeterli değildir.

Kuruluşunuz ayrıca kullanıcılara her yerden çalışmalarına ve kişisel cihazlarını kullanmalarına izin vererek esneklik sağlar. Microsoft Intune kendi cihazını getir 'i (KCG) desteklediği için, onaylı kullanıcı cihazlarını Intune'a kaydedersiniz.

Ayrıca, bu cihazların kuruluş ilkeleriyle uyumlu olduğundan emin olmanız gerekir. Özellikle, bu ilkeler cihazların yalnızca en son işletim sistemi ve en son güvenlik düzeltme ekleri yüklü olduğunda bağlanabilmesini gerektirir. Bu güvenlik gereksinimlerini Microsoft Entra Koşullu Erişim'i kullanarak ayarlarsınız.

Koşullu Erişim, kiracınızın güvenliğini sağlamak için çeşitli yollar sunar. Şunları yapabilirsiniz:

Fabric kiracınızın tamamını kilitlemeniz gerekiyorsa, bir sanal ağ kullanabilir ve genel İnternet erişimini engelleyebilirsiniz. Ardından Doku'ya yalnızca bu güvenli sanal ağın içinden erişime izin verilir. Bu gereksinim, Doku için kiracı düzeyinde özel bağlantılar etkinleştirilerek ayarlanır. Tüm Doku uç noktalarının, tüm Power BI raporlarınıza erişim de dahil olmak üzere sanal ağınızdaki özel bir IP adresine çözümlenmesi sağlanır. (Özel uç noktaların etkinleştirilmesi birçok Yapı öğesini etkiler, bu nedenle bunları etkinleştirmeden önce bu makaleyi iyice okumanız gerekir.)

Doku dışındaki verilere güvenli erişim (giden koruma)

Ardından, güvenlik duvarlarının veya özel uç noktaların arkasındaki verilere güvenli bir şekilde erişmeyle ilgilenen giden korumayı ayarlarsınız.

Kuruluşunuzun şirket içi ağınızda bulunan bazı veri kaynakları vardır. Bu veri kaynakları güvenlik duvarlarının arkasında olduğundan, Doku güvenli erişim gerektirir. Fabric'in şirket içi veri kaynağınıza güvenli bir şekilde bağlanmasına izin vermek için bir şirket içi veri ağ geçidi yüklersiniz.

Ağ geçidi Data Factory veri akışları ve veri işlem hatları tarafından şirket içi verileri almak, hazırlamak ve dönüştürmek ve ardından kopyalama etkinliğiyle OneLake'e yüklemek için kullanılabilir. Data Factory, 100'den fazla farklı veri deposuna bağlanmanızı sağlayan kapsamlı bir bağlayıcı kümesini destekler.

Ardından, düşük kodlu bir arabirimle sezgisel bir deneyim sağlayan Power Query ile veri akışları oluşturursunuz. Bu verileri veri kaynaklarınızdan veri almak ve 300'den fazla veri dönüştürme işleminden herhangi birini kullanarak dönüştürmek için kullanırsınız. Ardından veri işlem hatları ile karmaşık bir ayıklama, dönüştürme ve yükleme (ETL) işlemi derleyip düzenlersiniz. ETL işlemleriniz veri akışlarını yenileyebilir ve petabaytlar kadar veriyi işleyip büyük ölçekte birçok farklı görev gerçekleştirebilirsiniz.

Bu senaryoda, zaten birden çok ETL işleminiz vardır. İlk olarak, Azure Data Factory'de (ADF) bazı işlem hatlarınız vardır. Şu anda bu işlem hatları şirket içi verilerinizi alır ve şirket içinde barındırılan tümleştirme çalışma zamanını kullanarak Azure Depolama'daki bir veri gölüne yükler. İkincisi, Azure Databricks'te Spark'ta yazılmış bir veri alımı çerçeveniz vardır.

Fabric'i kullandığınıza göre, lakehouse bağlayıcısını kullanmak için ADF işlem hatlarının çıkış hedefini yeniden yönlendirmeniz yeterlidir. Ayrıca Azure Databricks'teki alma çerçevesi için OneLake'i Azure Databricks ile tümleştirmek için Azure Blog Dosya Sistemi (ABFS) sürücüsünü destekleyen OneLake API'lerini kullanırsınız. (Tümleştirmek için aynı yöntemi de kullanabilirsinizApache Spark kullanarak Azure Synapse Analytics ile OneLake.)

Ayrıca Azure SQL Veritabanı bazı veri kaynaklarınız da vardır. Özel uç noktaları kullanarak bu veri kaynaklarına bağlanmanız gerekir. Bu durumda, bir sanal ağ (VNet) veri ağ geçidi ayarlamaya ve veri akışlarını kullanarak Azure verilerinize güvenli bir şekilde bağlanmaya ve dokuya yüklemeye karar verirsiniz. Sanal ağ veri ağ geçitleriyle altyapıyı sağlamanız ve yönetmeniz gerekmez (şirket içi veri ağ geçidi için yapmanız gereken gibi). Bunun nedeni Fabric'in Azure Sanal Ağ kapsayıcıları güvenli ve dinamik olarak oluşturmasıdır.

Spark'ta veri alımı çerçevenizi geliştiriyor veya geçiriyorsanız yönetilen özel uç noktaların yardımıyla Doku not defterleri ve işlerinden Azure'daki veri kaynaklarına güvenli ve özel olarak bağlanabilirsiniz. Yönetilen özel uç noktalar, Genel İnternet erişimini engelleyen Azure'daki veri kaynaklarına bağlanmak için Doku çalışma alanlarınızda oluşturulabilir. Azure SQL Veritabanı ve Azure Depolama gibi özel uç noktaları destekler. Yönetilen özel uç noktalar, Doku çalışma alanına ayrılmış yönetilen bir sanal ağda sağlanır ve yönetilir. Tipik Azure Sanal Ağ aksine yönetilen sanal ağlar ve yönetilen özel uç noktalar Azure portalında bulunmaz. Bunun nedeni, bunların tamamen Doku tarafından yönetilmeleri ve bunları çalışma alanı ayarlarınızda bulmanızdır.

Azure Data Lake Storage (ADLS) 2. Nesil hesaplarında depolanan çok fazla veriniz olduğundan artık yalnızca Spark ve Power BI gibi Fabric iş yüklerini buna bağlamanız yeterlidir. Ayrıca OneLake ADLS kısayolları sayesinde veri tümleştirme işlem hatları, veri mühendisliği not defterleri ve Power BI raporları gibi herhangi bir Doku deneyiminden mevcut verilerinize kolayca bağlanabilirsiniz.

Çalışma alanı kimliğine sahip doku çalışma alanları, genel ağı devre dışı bırakmış olsanız bile ADLS 2. Nesil depolama hesaplarına güvenli bir şekilde erişebilir. Bu, güvenilir çalışma alanı erişimiyle mümkün hale getirildi. Fabric'in bir Microsoft omurga ağı kullanarak depolama hesaplarına güvenli bir şekilde bağlanmasını sağlar. Bu, iletişimin genel İnternet'i kullanmadığı anlamına gelir; bu da depolama hesabına genel ağ erişimini devre dışı bırakmanıza ancak bazı Doku çalışma alanlarının bunlara bağlanmasına izin vermenizi sağlar.

Uyumluluk

Fabric'i kullanarak buluttaki verilerinizi güvenli bir şekilde almak, depolamak, işlemek ve analiz etmek, ayrıca sektörünüzün düzenlemelerine ve kuruluşunuzun ilkelerine uyum sağlamak istiyorsunuz.

Doku, Microsoft Azure Core Services'ın bir parçasıdır ve Microsoft Online Services Koşulları ve Microsoft Kurumsal Gizlilik Bildirimi'ne tabidir. Sertifikasyonlar genellikle bir ürün lansmanı (Genel Kullanıma Sunuldu veya GA) sonrasında gerçekleşse de Microsoft, en iyi uyumluluk uygulamalarını en baştan ve geliştirme yaşam döngüsü boyunca tümleştirir. Bu proaktif yaklaşım, yerleşik denetim döngülerini izlemelerine rağmen gelecekteki sertifikalar için güçlü bir temel sağlar. Daha basit bir ifadeyle, resmi sertifikasyon daha sonra gelse bile içinde uyumluluk oluşturmaya en baştan öncelik veririz.

Doku ISO 27001, 27017, 27018 ve 27701 gibi birçok endüstri standardıyla uyumludur. Doku ayrıca sağlık verilerinin gizliliği ve güvenliği açısından kritik öneme sahip HIPAA ile uyumludur. Sertifikaların kapsamında hangi bulut hizmetlerinin bulunduğuna ilişkin ayrıntılı içgörüler için Microsoft Azure Uyumluluk Teklifleri'nde Ek A ve B'yi de inceleyebilirsiniz. Denetim belgelerine Hizmet Güveni Portalı'ndan (STP) da erişebilirsiniz.

Uyumluluk paylaşılan bir sorumluluktır. Yasalara ve düzenlemelere uymak için bulut hizmeti sağlayıcıları ve müşterileri, her birinin kendi görevlerini yerine getirmek için paylaşılan bir sorumluluk altına girer. Genel bulut hizmetlerini değerlendirirken ve değerlendirirken, paylaşılan sorumluluk modelini ve bulut sağlayıcısının hangi güvenlik görevlerini işlediğini ve hangi görevleri işlediğinizi anlamak kritik önem taşır.

Veri işleme

Hassas hasta bilgileriyle ilgilendiğiniz için tüm verilerinizin hem bekleyen hem de aktarım sırasında yeterince korunduğundan emin olmanız gerekir.

Bekleyen şifreleme, depolanan veriler için (bekleyen) veri koruması sağlar. Bekleyen verilere yönelik saldırılar, verilerin depolandığı donanıma fiziksel erişim elde etme ve ardından söz konusu donanımdaki verilerin güvenliğini aşma girişimlerini içerir. Bekleyen şifreleme, diskteyken verilerin şifrelendiğinden emin olarak saldırganın şifrelenmemiş verilere erişmesini engelleyecek şekilde tasarlanmıştır. Bekleyen verilerin şifrelenmesi, Uluslararası Standartlaştırma Örgütü (ISO) ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi bazı endüstri standartları ve düzenlemeleri ile uyumluluk için zorunlu bir önlemdir.

Tüm Doku veri depoları , müşteri verileri ve ayrıca sistem verileri ve meta veriler için koruma sağlayan Microsoft tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Veriler hiçbir zaman şifrelenmemiş durumdayken kalıcı depolamada kalıcı olmaz. Microsoft tarafından yönetilen anahtarlarla, özel anahtar yönetimi çözümünün riski veya maliyeti olmadan bekleyen verilerinizin şifrelenmesinden yararlanabilirsiniz.

Veriler aktarım sırasında da şifrelenir. İstemci sistemlerinden Doku uç noktalarına gelen tüm trafik en az Aktarım Katmanı Güvenliği (TLS) 1.2'yi zorlar. Ayrıca mümkün olduğunca TLS 1.3 ile de anlaşma sağlar. TLS güçlü kimlik doğrulaması, ileti gizliliği ve bütünlük (ileti üzerinde değişiklik, kesme ve sahteciliğin algılanması), birlikte çalışabilirlik, algoritma esnekliği ve dağıtım ve kullanım kolaylığı sağlar.

Şifrelemeye ek olarak, Microsoft hizmetleri arasındaki ağ trafiği her zaman dünyanın en büyük omurga ağlarından biri olan Microsoft genel ağı üzerinden yönlendirilir.

Müşteri tarafından yönetilen anahtar (CMK) şifrelemesi ve Microsoft Fabric

Müşteri tarafından yönetilen anahtarlar (CMK), bekleyen verileri kendi anahtarlarınızı kullanarak şifrelemenize olanak tanır. Varsayılan olarak Microsoft Fabric, platform tarafından yönetilen anahtarları kullanarak bekleyen verileri şifreler. Bu modelde Microsoft anahtar yönetiminin tüm yönlerinden sorumludur ve OneLake'te bekleyen veriler anahtarları kullanılarak şifrelenir. Uyumluluk açısından bakıldığında müşterilerin bekleyen verileri şifrelemek için CMK kullanmaları gerekebilir. CMK modelinde müşteri anahtarın tam denetimini üstlenir ve bekleyen verileri şifrelemek için anahtarlarını kullanır.

Diyagram, Doku OneLake kısayollarını kullanarak CMK kullanmanın üst düzey bir gösterimini gösterir.

Bekleyen verileri şifrelemek için CMK kullanma gereksiniminiz varsa, CMK şifrelemesi etkinleştirilmiş bulut depolama hizmetlerini (ADLS 2. Nesil, AWS S3, GCS) kullanmanızı ve OneLake kısayollarını kullanarak Microsoft Fabric'ten verilere erişmenizi öneririz. Bu düzende verileriniz, CMK kullanarak bekleyen şifrelemenin etkinleştirildiği bir bulut depolama hizmetinde veya dış depolama çözümünde kalmaya devam eder ve uyumlu kalırken Doku'dan yerinde okuma işlemleri gerçekleştirebilirsiniz. Bir kısayol oluşturulduktan sonra, Doku'nun içinde verilere diğer Doku deneyimleri tarafından erişilebilir.

Bu deseni kullanmak için dikkat edilmesi gereken bazı noktalar vardır:

  • CMK kullanarak bekleyen şifreleme gereksinimi olan veriler için burada açıklanan deseni kullanın. Bu gereksinime sahip olmayan veriler, platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenebilir ve bu veriler Microsoft Fabric OneLake'te yerel olarak depolanabilir.
  • Fabric Lakehouse ve KQL veritabanı , Microsoft Fabric içinde kısayolların oluşturulmasını destekleyen iki iş yüküne sahiptir. Verilerin CMK'nin etkinleştirildiği bir dış depolama hizmetinde yer almaya devam ettiği bu düzende Lakehouses ve KQL veritabanlarındaki kısayolları kullanarak verilerinizi analiz için Microsoft Fabric'e getirebilirsiniz, ancak veriler fiziksel olarak CMK şifrelemesinin etkinleştirildiği OneLake dışında depolanır.
  • ADLS 2. Nesil kısayolu, bu kısayol türünü yazmayı ve kullanmayı destekler; ayrıca verileri depolama hizmetine geri yazabilirsiniz ve bekleme sırasında CMK kullanılarak şifrelenir. ADLS 2. Nesil ile CMK kullanılırken Azure Key Vault (AKV) ve Azure Depolama ile ilgili dikkat edilmesi gerekenler geçerlidir.
  • AWS S3 uyumlu bir üçüncü taraf depolama çözümü kullanıyorsanız (Cloudflare, Genel uç nokta ile Qumolo Core, genel uç nokta ile Genel MinIO ve Dell ECS) ve CMK etkinse, bu belgede açıklanan desen bu üçüncü taraf depolama çözümlerine uzatılabilir. Amazon S3 uyumlu kısayolu kullanarak, bu çözümlerden bir kısayol kullanarak verileri Doku'ya getirebilirsiniz. Bulut tabanlı depolama hizmetlerinde olduğu gibi, cmk şifrelemesi ile verileri dış depolamada depolayabilir ve yerinde okuma işlemleri gerçekleştirebilirsiniz.
  • AWS S3, müşteri tarafından yönetilen anahtarları kullanarak bekleyen şifrelemeyi destekler. Doku, S3 kısayolunu kullanarak S3 demetlerinde yerinde okuma gerçekleştirebilir; ancak AWS S3 kısayolunu kullanarak yazma işlemleri desteklenmez.
  • Google bulut depolama, müşteri tarafından yönetilen anahtarları kullanarak veri şifrelemeyi destekler. Doku GCS üzerinde yerinde okuma gerçekleştirebilir; ancak GCS kısayolu kullanılarak yapılan yazma işlemleri desteklenmez.
  • Etkinlikleri izlemek için Microsoft Fabric için denetimi etkinleştirin.
  • Microsoft Fabric'te Power BI deneyimi, müşteri tarafından yönetilen anahtarı destekler.

Veri yerleşimi

Hasta verileriyle ilgilenirken, uyumluluk nedeniyle kuruluşunuz verilerin hiçbir zaman Birleşik Devletler coğrafi sınırdan ayrılmamasını zorunlu kılmıştır. Kuruluşunuzun ana operasyonları New York'ta ve Seattle'daki merkez ofisinizde gerçekleşir. Power BI'ı ayarlarken, kuruluşunuz kiracı ana bölgesi olarak Doğu ABD bölgesini seçti. İşlemleriniz için Batı ABD bölgesinde veri kaynaklarınıza daha yakın bir Doku kapasitesi oluşturdunuz. OneLake dünyanın dört bir yanında kullanılabildiğinden, Doku kullanırken kuruluşunuzun veri yerleşimi ilkelerini karşılayıp karşılayamayacağınız konusunda endişeleriniz vardır.

Doku'da, kiracı ana bölgeniz dışındaki coğrafyalarda (coğrafi) bulunan kapasiteler olan Multi-Geo kapasiteleri oluşturabileceğinizi öğrenirsiniz. Doku çalışma alanlarınızı bu kapasitelere atarsınız. Bu durumda, çalışma alanı içindeki tüm öğeler için işlem ve depolama (OneLake ve deneyime özgü depolama dahil) çok coğrafi bölgede, kiracı meta verileriniz ise ana bölgede kalır. Verileriniz yalnızca bu iki coğrafyada depolanır ve işlenir, böylece kuruluşunuzun veri yerleşim gereksinimlerinin karşılandığından emin olursunuz.

Erişim denetimi

Lakehouse'un bronz ve gümüş katmanlarında verilere yalnızca sizin ve veri mühendislerinizin tam erişimi olduğundan emin olmanız gerekir. Bu katmanlar veri temizleme, doğrulama, dönüştürme ve zenginleştirme gerçekleştirmenizi sağlar. Altın katmandaki verilere erişimi yalnızca veri analistleri ve iş kullanıcıları gibi raporlama ve analiz gibi çeşitli analitik amaçlarla kullanabilen yetkili kullanıcılarla kısıtlamanız gerekir.

Doku, çalışma alanlarınızdaki öğelere ve verilere erişimi denetlemenizi sağlayan esnek bir izin modeli sağlar. Çalışma alanı, Yapı'daki öğeleri gruplandırma için güvenli hale getirilebilir bir mantıksal varlıktır. Çalışma alanlarındaki öğelere erişimi denetlemek için çalışma alanı rollerini kullanırsınız. Çalışma alanının dört temel rolü şunlardır:

  • Yönetici: İzinleri yönetme dahil olmak üzere çalışma alanındaki tüm içeriği görüntüleyebilir, değiştirebilir, paylaşabilir ve yönetebilir.
  • Üye: Çalışma alanındaki tüm içeriği görüntüleyebilir, değiştirebilir ve paylaşabilir.
  • Katkıda Bulunan: Çalışma alanındaki tüm içeriği görüntüleyebilir ve değiştirebilir.
  • Görüntüleyici: Çalışma alanındaki tüm içeriği görüntüleyebilir, ancak değiştiremezsiniz.

Bu senaryoda, her bir madalyon katmanı (bronz, gümüş ve altın) için bir tane olan üç çalışma alanı oluşturursunuz. Çalışma alanını oluşturduğunuz için otomatik olarak Yönetici rolüne atanırsınız.

Ardından bu üç çalışma alanının Katkıda Bulunan rolüne bir güvenlik grubu eklersiniz. Güvenlik grubu, diğer mühendislerinizi üye olarak içerdiğinden, bu çalışma alanlarında Doku öğeleri oluşturabilir ve değiştirebilir; ancak başka kimseyle öğe paylaşamaz. Diğer kullanıcılara da erişim izni veremezler.

Bronz ve gümüş çalışma alanlarında siz ve mühendisleriniz verileri almak, verileri depolamak ve verileri işlemek için Doku öğeleri oluşturursunuz. Doku öğeleri bir göl evi, işlem hatları ve not defterlerinden oluşur. Altın renkli çalışma alanında iki göl evi, birden çok işlem hattı ve not defteri ve göl binalarından birinde depolanan verilerin hızlı sorgu performansını sunan bir Direct Lake semantik modeli oluşturursunuz.

Daha sonra veri analistlerinin ve iş kullanıcılarının erişmelerine izin verilen verilere nasıl erişebileceğini dikkatli bir şekilde dikkate alırsınız. Özellikle, yalnızca rolleri ve departmanlarıyla ilgili verilere erişebilirler.

İlk lakehouse gerçek verileri içerir ve SQL analiz uç noktasında veri izinlerini zorlamaz. İkinci lakehouse, ilk lakehouse'un kısayollarını içerir ve SQL analiz uç noktasında ayrıntılı veri izinleri uygular. Anlamsal model ilk lakehouse'a bağlanır. Kullanıcılar için uygun veri izinlerini zorunlu kılmak (böylece yalnızca rolleri ve bölümleriyle ilgili verilere erişebilirler), ilk lakehouse'ları kullanıcılarla paylaşmazsınız. Bunun yerine yalnızca Direct Lake semantik modelini ve SQL analiz uç noktasında veri izinlerini zorlayan ikinci lakehouse'ı paylaşırsınız.

Semantik modeli sabit bir kimlik kullanacak şekilde ayarladınız ve ardından anlamsal modelde satır düzeyi güvenlik (RLS) uygulayarak kullanıcıların erişebileceği verileri idare etmek için model kurallarını zorunlu kılarsınız. Ardından yalnızca semantik modeli veri analistleri ve iş kullanıcıları ile paylaşırsınız çünkü işlem hatları ve not defterleri gibi çalışma alanlarındaki diğer öğelere erişmemeleri gerekir. Son olarak, kullanıcıların Power BI raporları oluşturabilmesi için anlam modeli üzerinde Derleme izni verirsiniz. Bu şekilde, anlam modeli paylaşılan bir anlam modeli ve Power BI raporları için bir kaynak haline gelir.

Veri analistlerinizin altın renkli çalışma alanında bulunan ikinci lakehouse'a erişmesi gerekir. Sql sorguları yazmak ve analiz gerçekleştirmek için bu lakehouse'un SQL analiz uç noktasına bağlanırlar. Bu nedenle, bu lakehouse'ı onlarla paylaşır ve SQL güvenlik modelini kullanarak yalnızca lakehouse SQL analiz uç noktasında ihtiyaç duydukları nesnelere (tablolar, satırlar ve maskeleme kuralları olan sütunlar gibi) erişim sağlarsınız. Veri analistleri artık yalnızca rolleri ve departmanları ile ilgili verilere erişebilir ve işlem hatları ve not defterleri gibi çalışma alanlarındaki diğer öğelere erişemez.

Yaygın güvenlik senaryoları

Aşağıdaki tabloda yaygın güvenlik senaryoları ve bunları gerçekleştirmek için kullanabileceğiniz araçlar listelenir.

Senaryo Araçlar Yön
ETL geliştiricisiyim ve birden çok kaynak sistem ve tablodan büyük hacimli verileri büyük ölçekli olarak Doku'ya yüklemek istiyorum. Kaynak veriler şirket içi (veya başka bir bulut) ve güvenlik duvarlarının ve/veya özel uç noktaları olan Azure veri kaynaklarının arkasındadır. Veri işlem hatları (kopyalama etkinliği) ile şirket içi veri ağ geçidini kullanın. Giden
Güçlü bir kullanıcıyım ve erişimim olan kaynak sistemlerden Doku'ya veri yüklemek istiyorum. Geliştirici olmadığından, düşük kodlu bir arabirim kullanarak verileri dönüştürmem gerekiyor. Kaynak veriler şirket içi (veya başka bir bulut) ve güvenlik duvarlarının arkasındadır. Dataflow 2. Nesil ile şirket içi veri ağ geçidini kullanın. Giden
Güçlü bir kullanıcıyım ve erişimim olan kaynak sistemlerden Doku'ya veri yüklemek istiyorum. Kaynak veriler Azure'da özel uç noktaların arkasında ve şirket içi veri ağ geçidi altyapısını yüklemek ve bakımını yapmak istemiyorum. Dataflow 2. Nesil ile sanal ağ veri ağ geçidi kullanın. Giden
Spark not defterlerini kullanarak veri alımı kodu yazabilen bir geliştiriciyim . Erişimim olan kaynak sistemlerden Doku'ya veri yüklemek istiyorum. Kaynak veriler Azure'da özel uç noktaların arkasında ve şirket içi veri ağ geçidi altyapısını yüklemek ve bakımını yapmak istemiyorum. Doku not defterlerini Azure özel uç noktalarıyla kullanın. Giden
Azure Data Factory (ADF) ve Synapse işlem hatlarında veri kaynaklarıma bağlanan ve Azure'a veri yükleyen birçok işlem hattım var. Şimdi bu işlem hatlarını dokuya veri yüklenecek şekilde değiştirmek istiyorum. Mevcut işlem hatlarında Lakehouse bağlayıcısını kullanın. Giden
Spark'ta geliştirilen ve veri kaynaklarıma güvenli bir şekilde bağlanan ve bunları Azure'a yükleyen bir veri alımı çerçevem var. Azure Databricks ve/veya Synapse Spark üzerinde çalıştırıyorum. Dokuya veri yüklemek için Azure Databricks ve/veya Synapse Spark'ı kullanmaya devam etmek istiyorum. OneLake ve Azure Data Lake Storage (ADLS) 2. Nesil API'sini (Azure Blob Dosya Sistemi sürücüsü) kullanma Giden
Doku uç noktalarımın genel İnternet'ten korunduğundan emin olmak istiyorum. Bir SaaS hizmeti olarak, Doku arka ucu zaten genel İnternet'ten korunur. Daha fazla koruma için, Doku için Microsoft Entra koşullu erişim ilkelerini kullanın ve/veya Doku için kiracı düzeyinde özel bağlantıları etkinleştirin ve genel İnternet erişimini engelleyin. Gelen
Doku'ya yalnızca şirket ağımdan ve/veya uyumlu cihazlardan erişilebildiğinden emin olmak istiyorum. Doku için Microsoft Entra koşullu erişim ilkelerini kullanın. Gelen
Doku'ya erişen herkesin çok faktörlü kimlik doğrulaması gerçekleştirmesi gerektiğinden emin olmak istiyorum. Doku için Microsoft Entra koşullu erişim ilkelerini kullanın. Gelen
Tüm Fabric kiracımı genel İnternet'ten kilitlemek ve yalnızca sanal ağlarımın içinden erişime izin vermek istiyorum. Doku için kiracı düzeyinde özel bağlantıları etkinleştirin ve genel İnternet erişimini engelleyin. Gelen

Doku güvenliği hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın.