Microsoft Fabric güvenlikle ilgili temel bilgiler

Bu makale, sistemdeki ana güvenlik akışlarının nasıl çalıştığını açıklayarak Microsoft Fabric güvenlik mimarisine ilişkin büyük bir bakış açısı sunar. Ayrıca kullanıcıların Doku ile kimlik doğrulamasını, veri bağlantılarının nasıl kurulduğunu ve Fabric'in verileri hizmette nasıl depolayıp taşımasını da açıklar.

Bu makale öncelikli olarak kuruluşta Doku'nun nezdinde sorumlu olan Doku yöneticilerine yöneliktir. Ayrıca güvenlik yöneticileri, ağ yöneticileri, Azure yöneticileri, çalışma alanı yöneticileri ve veritabanı yöneticileri de dahil olmak üzere kurumsal güvenlik paydaşları için de geçerlidir.

Doku platformu

Microsoft Fabric , veri taşımadan veri bilimine, gerçek zamanlı analize ve iş zekasına (BI) kadar her şeyi kapsayan kuruluşlar için hepsi bir arada analiz çözümüdür. Doku platformu, tüm Doku deneyimleri için ortak işlevselliği destekleyen bir dizi hizmet ve altyapı bileşeninden oluşur. Toplu olarak, sorunsuz bir şekilde birlikte çalışacak şekilde tasarlanmış kapsamlı bir analiz deneyimi kümesi sunar. Deneyimler arasında Lakehouse, Data Factory, Synapse Veri Madenciliği, Synapse Veri Ambarı, Power BI ve diğerleri yer alır.

Doku ile birden çok satıcıdan farklı hizmetleri birleştirmeniz gerekmez. Bunun yerine analiz ihtiyaçlarınızı basitleştirmek için tasarlanmış yüksek oranda tümleşik, uçtan uca ve kullanımı kolay bir üründen yararlanabilirsiniz. Doku, hassas varlıkları korumak için en baştan tasarlanmıştır.

Fabric platformu, güvenilirlik, basitlik ve ölçeklenebilirlik sunan hizmet olarak yazılım (SaaS) temeli üzerine kurulmuştur. Microsoft'un genel bulut bilgi işlem platformu olan Azure'da derlenir. Geleneksel olarak, birçok veri ürünü hizmet olarak platform (PaaS) olmuştur ve hizmet yöneticisinin her hizmet için güvenlik, uyumluluk ve idare ayarlamasını gerektirir. Fabric bir SaaS hizmeti olduğundan, bu özelliklerin çoğu SaaS platformunda yerleşiktir ve kurulum veya minimum kurulum gerektirmez.

Mimari şema

Aşağıdaki mimari diyagramda Doku güvenlik mimarisinin üst düzey bir gösterimi gösterilmektedir.

Diyagram, Doku güvenlik mimarisinin üst düzey bir gösterimini gösterir.

Mimari diyagramda aşağıdaki kavramlar gösterilmiştir.

  1. Kullanıcı, Doku hizmetine bağlanmak için bir tarayıcı veya Power BI Desktop gibi bir istemci uygulaması kullanır.

  2. Kimlik doğrulaması, kullanıcı veya hizmet sorumlusunun kimliğini doğrulayan ve Doku'ya erişimi yöneten bulut tabanlı kimlik ve erişim yönetimi hizmeti olan azure active directory olarak bilinen Microsoft Entra ID tarafından işlenir.

  3. Web ön ucu kullanıcı isteklerini alır ve oturum açmayı kolaylaştırır. Ayrıca istekleri yönlendirir ve ön uç içeriğini kullanıcıya yönlendirir.

  4. Meta veri platformu, müşteri verilerini içerebilen kiracı meta verilerini depolar. Doku hizmetleri, yetkilendirme bilgilerini almak ve kullanıcı isteklerini yetkilendirmek ve doğrulamak için bu platformu isteğe bağlı olarak sorgular. Kiracı giriş bölgesinde bulunur.

  5. Arka uç kapasite platformu işlem işlemlerinde ve müşteri verilerini depolamada sorumludur ve kapasite bölgesinde bulunur. Belirli Doku deneyimleri için gerekli olduğunda bu bölgedeki Azure çekirdek hizmetlerinden yararlanıyor.

Doku platformu altyapı hizmetleri çok kiracılıdır. Kiracılar arasında mantıksal yalıtım vardır. Bu hizmetler karmaşık kullanıcı girişini işlemez ve bunların tümü yönetilen kodda yazılır. Platform hizmetleri hiçbir zaman kullanıcı tarafından yazılmış kod çalıştırmaz.

Meta veri platformu ve arka uç kapasite platformu güvenli sanal ağlarda çalışır. Bu ağlar, müşterilerden ve diğer hizmetlerden istek alabilmeleri için bir dizi güvenli uç noktayı İnternet'te kullanıma sunar. Bu uç noktaların dışında hizmetler, genel İnternet'ten erişimi engelleyen ağ güvenlik kurallarıyla korunur. Sanal ağlar içindeki iletişim de her iç hizmetin ayrıcalığına bağlı olarak kısıtlanır.

Uygulama katmanı, kiracıların yalnızca kendi kiracılarındaki verilere erişebilmesini sağlar.

Kimlik Doğrulaması

Doku, kullanıcıların (veya hizmet sorumlularının) kimliğini doğrulamak için Microsoft Entra Id'ye dayanır. Kimlik doğrulaması yapıldığında, kullanıcılar Microsoft Entra Id'den erişim belirteçleri alır. Doku, kullanıcı bağlamında işlemler gerçekleştirmek için bu belirteçleri kullanır.

Microsoft Entra ID'nin önemli özelliklerinden biri koşullu erişimdir. Koşullu erişim, çok faktörlü kimlik doğrulamasını zorunlu kılarak kiracıların güvenli olmasını sağlar ve yalnızca Microsoft Intune'a kayıtlı cihazların belirli hizmetlere erişmesine izin verir. Koşullu erişim, kullanıcı konumlarını ve IP aralıklarını da kısıtlar.

Yetkilendirme

Tüm Doku izinleri meta veri platformu tarafından merkezi olarak depolanır. Doku hizmetleri, yetkilendirme bilgilerini almak ve kullanıcı isteklerini yetkilendirmek ve doğrulamak için meta veri platformunu isteğe bağlı olarak sorgular.

Performans nedenleriyle, Doku bazen yetkilendirme bilgilerini imzalı belirteçlere kapsüller. İmzalı belirteçler yalnızca arka uç kapasite platformu tarafından verilir ve erişim belirtecini, yetkilendirme bilgilerini ve diğer meta verileri içerir.

Veri yerleşimi

Doku'da bir kiracı, söz konusu bölgenin coğrafyasının veri yerleşimi gereksinimlerini karşılayan tek bir bölgede bulunan bir ev meta veri platformu kümesine atanır. Müşteri verilerini içerebilen kiracı meta verileri bu kümede depolanır.

Müşteriler çalışma alanlarının bulunduğu yeri denetleyebiliyor. Çalışma alanlarını meta veri platformu kümesiyle aynı coğrafyada, çalışma alanlarını açıkça bu bölgedeki kapasitelere atayarak veya Örtük olarak Fabric Deneme, Power BI Pro veya Kullanıcı Başına Power BI Premium lisans modunu kullanarak bulmayı seçebilirler. İkinci durumda, tüm müşteri verileri bu tek coğrafyada depolanır ve işlenir. Daha fazla bilgi için bkz . Microsoft Fabric kavramları ve lisansları.

Müşteriler kendi ana bölgeleri dışındaki coğrafyalarda (coğrafi) bulunan Multi-Geo kapasiteleri de oluşturabilir. Bu durumda, işlem ve depolama (OneLake ve deneyime özgü depolama dahil) çok coğrafi bölgede bulunur, ancak kiracı meta verileri ana bölgede kalır. Müşteri verileri yalnızca bu iki coğrafyada depolanır ve işlenir. Daha fazla bilgi için bkz . Doku için Multi-Geo desteğini yapılandırma.

Veri işleme

Bu bölümde, Doku'da veri işlemenin nasıl çalıştığına genel bir bakış sağlanır. Depolamayı, işlemeyi ve müşteri verilerinin hareketini açıklar.

Bekleme durumundaki veriler

Tüm Doku veri depoları, Microsoft tarafından yönetilen anahtarlar kullanılarak beklemede şifrelenir. Doku verileri, müşteri verilerinin yanı sıra sistem verilerini ve meta verileri içerir.

Veriler şifrelenmemiş durumda bellekte işlense de, şifrelenmemiş durumdayken hiçbir zaman kalıcı depolamada kalıcı olmaz.

Aktarım durumundaki veriler

Microsoft hizmetleri arasında aktarımda olan veriler her zaman en az TLS 1.2 ile şifrelenir. Doku mümkün olduğunda TLS 1.3 ile anlaşma sağlar. Microsoft hizmetleri arasındaki trafik her zaman Microsoft genel ağı üzerinden yönlendirilir.

Gelen Doku iletişimi ayrıca TLS 1.2'yi zorlar ve mümkün olduğunda TLS 1.3 ile anlaşma gerçekleştirir. Müşteriye ait altyapıya giden Doku iletişimi güvenli protokolleri tercih eder, ancak daha yeni protokoller desteklenmediğinde eski, güvenli olmayan protokollere (TLS 1.0 dahil) geri dönebilir.

Telemetri

Telemetri, Doku platformunun performansını ve güvenilirliğini korumak için kullanılır. Doku platformu telemetri deposu, Avrupa Birliği (AB) dahil olmak üzere Fabric'in kullanılabildiği tüm bölgelerdeki müşteriler için veri ve gizlilik düzenlemeleri ile uyumlu olacak şekilde tasarlanmıştır. Daha fazla bilgi için bkz . AB Veri Sınırı Hizmetleri.

OneLake

OneLake , kuruluşun tamamı için tek, birleşik, mantıksal bir veri gölüdür ve her Doku kiracısı için otomatik olarak sağlanır. Azure'da yerleşiktir ve yapılandırılmış veya yapılandırılmamış her tür dosyayı depolayabilir. Ayrıca, ambarlar ve göl evleri gibi tüm Doku öğeleri verilerini otomatik olarak OneLake'te depolar.

OneLake aynı Azure Data Lake Storage 2. Nesil (ADLS 2. Nesil) API'lerini ve SDK'larını desteklediğinden, Azure Databricks de dahil olmak üzere mevcut ADLS 2. Nesil uygulamalarıyla uyumludur.

Daha fazla bilgi için bkz . Doku ve OneLake güvenliği.

Çalışma alanı güvenliği

Çalışma alanları, OneLake'te depolanan veriler için birincil güvenlik sınırını temsil eder . Her çalışma alanı, ekiplerin veriler üzerinde işbirliği yapabilecekleri tek bir etki alanını veya proje alanını temsil eder. Çalışma alanı rollerine kullanıcı atayarak çalışma alanında güvenliği yönetirsiniz.

Daha fazla bilgi için bkz . Doku ve OneLake güvenliği (Çalışma alanı güvenliği).

Öğe güvenliği

Çalışma alanında, izinleri doğrudan ambarlar ve göl evleri gibi Doku öğelerine atayabilirsiniz. Öğe güvenliği , çalışma alanının tamamına erişim vermeden tek bir Doku öğesine erişim izni verme esnekliği sağlar. Kullanıcılar öğe başına izinleri bir öğeyi paylaşarak veya öğenin izinlerini yöneterek ayarlayabilir.

Uyumluluk kaynakları

Doku hizmeti, Microsoft Online Services Koşulları ve Microsoft Kurumsal Gizlilik Bildirimi'ne tabidir.

Veri işlemenin konumu için Microsoft Online Services Koşulları'ndaki Veri İşleme Konumu koşullarına ve Veri Koruma Eki'ne bakın.

Uyumluluk bilgileri için, Doku için birincil kaynak Microsoft Güven Merkezi'dir . Uyumluluk hakkında daha fazla bilgi için bkz . Microsoft uyumluluk teklifleri.

Doku hizmeti, güvenlik güvencesi ve uyumluluk gereksinimlerini destekleyen bir dizi katı güvenlik uygulamasından oluşan Güvenlik Geliştirme Yaşam Döngüsü'ne (SDL) uyar. SDL, geliştiricilerin yazılımdaki güvenlik açıklarının sayısını ve önem derecesini azaltırken geliştirme maliyetini azaltarak daha güvenli yazılımlar oluşturmasına yardımcı olur. Daha fazla bilgi için bkz . Microsoft Güvenlik Geliştirme Yaşam Döngüsü Uygulamaları.

Doku güvenliği hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın.