Megosztás a következőn keresztül:

Bejövő forgalom védelme

  • Cikk

A bejövő forgalom az internetről a Fabricbe érkező forgalom. Ez a cikk a Microsoft Fabric bejövő forgalmának védelmére szolgáló két módszer, a privát kapcsolatok és az Entra Feltételes hozzáférés két módja közötti különbségeket ismerteti. Ebben a cikkben eldöntheti, hogy melyik módszer a legjobb a szervezet számára.

  • Privát kapcsolatok (1. lehetőség, ügyféloldali virtuális hálózat) – A Fabric a virtuális hálózatból származó magánhálózati IP-címet használja. A végpont lehetővé teszi, hogy a hálózat felhasználói privát hivatkozások használatával kommunikáljanak a Hálóval a privát IP-címen keresztül.

  • Entra feltételes hozzáférés – (2. lehetőség, felhasználó) – Ha egy felhasználó hitelesíti a hozzáférést, a rendszer olyan szabályzatok alapján határozza meg, amelyek ip-címet, helyet és felügyelt eszközöket tartalmazhatnak.

Két hitelesítési módszert bemutató diagram a Fabricbe, a virtuális hálózatokba és a Microsoft Entra ID-ba irányuló bejövő forgalomhoz.

Miután a forgalom belép a Fabricbe, a Microsoft Entra-azonosító hitelesíti, amely ugyanaz a hitelesítési módszer, amelyet a Microsoft 365, a OneDrive és a Dynamics 365 használ. A Microsoft Entra ID-hitelesítés lehetővé teszi a felhasználók számára, hogy biztonságosan csatlakozzanak a felhőalkalmazásokhoz bármilyen eszközről és hálózatról, függetlenül attól, hogy otthon, távolról vagy vállalati irodájukban tartózkodnak.

A Fabric háttérplatformot virtuális hálózat védi, és nem érhető el közvetlenül a nyilvános internetről, csak biztonságos végpontokon keresztül. A Fabricben a forgalom védelmének megismeréséhez tekintse át a Fabric architekturális diagramját.

Alapértelmezés szerint a Fabric a belső Microsoft gerinchálózatot használó szolgáltatások között kommunikál. Amikor egy Power BI-jelentés betölti az adatokat a OneLake-ből, az adatok a belső Microsoft-hálózaton keresztül jutnak el. Ez a konfiguráció különbözik attól, hogy több platformszolgáltatást (PaaS) kell beállítani, hogy privát hálózaton keresztül csatlakozzanak egymáshoz. Az ügyfelek, például a böngésző vagy az SQL Server Management Studio (SSMS) és a Fabric közötti bejövő kommunikáció a TLS 1.2 protokollt használja, és lehetőség szerint egyeztet a TLS 1.3-as verziójával.

A Fabric alapértelmezett biztonsági beállításai a következők:

  • Microsoft Entra-azonosító , amely minden kérés hitelesítésére szolgál.

  • Sikeres hitelesítés esetén a rendszer a kéréseket a megfelelő háttérszolgáltatáshoz irányítja biztonságos Microsoft által felügyelt végpontokon keresztül.

  • A Fabricben található szolgáltatások közötti belső forgalom a Microsoft gerincén halad át.

  • Az ügyfelek és a Fabric közötti forgalom titkosítása legalább a Transport Layer Security (TLS) 1.2 protokoll használatával történik.

Entra feltételes hozzáférés

A Fabric minden interakciója a Microsoft Entra-azonosítóval van hitelesítve. A Microsoft Entra-azonosító a Teljes felügyelet biztonsági modellen alapul, amely feltételezi, hogy ön nem védett teljes mértékben a szervezet hálózati peremhálózatán belül. Ahelyett, hogy biztonsági határként tekintenek a hálózatra, Teljes felügyelet az identitást tekintik a biztonság elsődleges szegélyének.

A hozzáférés hitelesítéskor történő meghatározásához feltételes hozzáférési szabályzatokat határozhat meg és kényszeríthet ki a felhasználók identitása, eszközkörnyezete, helye, hálózata és alkalmazásérzékenysége alapján. Szükség lehet például többtényezős hitelesítésre, eszközmegfelelőségre vagy jóváhagyott alkalmazásokra az adatok és erőforrások eléréséhez a Fabricben. A kockázatos helyekről, eszközökről vagy hálózatokról való hozzáférést is letilthatja vagy korlátozhatja.

A feltételes hozzáférési szabályzatok a felhasználói hatékonyság és a felhasználói élmény veszélyeztetése nélkül segítenek az adatok és alkalmazások védelmében. Íme néhány példa a feltételes hozzáféréssel kényszeríthető hozzáférési korlátozásokra.

  • Adja meg a Fabrichez való bejövő kapcsolat ip-címeinek listáját.

  • Többtényezős hitelesítés (MFA) használata.

  • Korlátozza a forgalmat olyan paraméterek alapján, mint a származási ország vagy az eszköz típusa.

A Fabric nem támogatja az egyéb hitelesítési módszereket, például a fiókkulcsokat vagy az SQL-hitelesítést, amelyek felhasználónevekre és jelszavakra támaszkodnak.

Feltételes hozzáférés konfigurálása

A feltételes hozzáférés a Fabricben való konfigurálásához több Fabrichez kapcsolódó Azure-szolgáltatást kell kiválasztania, például a Power BI-t, az Azure Data Explorert, az Azure SQL Database-t és az Azure Storage-t.

Feljegyzés

A feltételes hozzáférés egyes ügyfelek számára túl tágnak tekinthető, mivel minden szabályzat a Fabricre és a kapcsolódó Azure-szolgáltatásokra lesz alkalmazva.

Licencek

A feltételes hozzáféréshez Microsoft Entra ID P1-licencek szükségesek. Ezek a licencek gyakran már elérhetők a szervezetben, mert más Microsoft-termékekkel, például a Microsoft 365-kel vannak megosztva. A követelményeknek megfelelő licenc megkereséséhez tekintse meg a licenckövetelmények című témakört.

Megbízható hozzáférés

A hálónak nem kell a magánhálózatban lennie, még akkor sem, ha az adatokat egy helyen tárolja. A PaaS-szolgáltatásokban gyakori, hogy a számítást ugyanabban a magánhálózatban helyezi el, mint a tárfiókot. A Fabric esetén azonban erre nincs szükség. A Fabricbe való megbízható hozzáférés engedélyezéséhez olyan funkciókat használhat, mint a helyszíni adatátjárók, a megbízható munkaterület-hozzáférés és a felügyelt privát végpontok. További információ: Biztonság a Microsoft Fabricben.

Privát végpontok esetén a szolgáltatáshoz privát IP-cím van hozzárendelve a virtuális hálózatról. A végpont lehetővé teszi, hogy a hálózat többi erőforrása a privát IP-címen keresztül kommunikáljon a szolgáltatással.

Privát kapcsolatok használatával egy alagút jön létre a szolgáltatásból az egyik alhálózatba, és létrehoz egy privát csatornát. A külső eszközök kommunikációja az IP-címükről, az alhálózat egy privát végpontjába, az alagúton keresztül és a szolgáltatásba kerül.

A privát kapcsolatok implementálása után a Fabric már nem érhető el a nyilvános interneten keresztül. A Fabric eléréséhez minden felhasználónak a magánhálózaton keresztül kell csatlakoznia. A privát hálózat szükséges a Fabrictel folytatott összes kommunikációhoz, beleértve a Power BI-jelentések böngészőben való megtekintését és az SQL Server Management Studio (SSMS) használatát egy olyan SQL-kapcsolati sztringhez való csatlakozáshoz, mint a <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.

Helyszíni hálózatok

Ha helyszíni hálózatokat használ, kiterjesztheti őket az Azure Virtual Networkre (VNet) egy ExpressRoute-kapcsolatcsoport vagy egy helyek közötti VPN használatával, hogy privát kapcsolatokkal férhessenek hozzá a Fabrichez.

Sávszélesség

A privát kapcsolatok révén a Fabric felé vezető összes forgalom a privát végponton halad át, ami potenciális sávszélesség-problémákat okoz. A felhasználók már nem tölthetnek be globálisan elosztott, nem adatokkal kapcsolatos erőforrásokat, például képeket .css és .html Fabric által használt fájlokat a régiójukból. Ezek az erőforrások a privát végpont helyről töltődnek be. Például az usa-beli privát végponttal rendelkező ausztrál felhasználók esetében a forgalom először az USA-ba utazik. Ez növeli a betöltési időt, és csökkentheti a teljesítményt.

Költség

A magánhálózati kapcsolatok költsége és az ExpressRoute sávszélességének növekedése, amely lehetővé teszi a magánhálózatból való kapcsolódást, költségekkel járhat a szervezet számára.

Szempontok és korlátozások

Privát hivatkozásokkal bezárja a Hálót a nyilvános internetre. Ennek eredményeképpen számos szempontot és korlátozást kell figyelembe vennie.

Kapcsolódó tartalom