Scenár zabezpečenia služby Microsoft Fabric od konca
Zabezpečenie je kľúčovým aspektom každého riešenia analýzy údajov, najmä ak zahŕňa citlivé alebo dôverné údaje. Z tohto dôvodu poskytuje microsoft Fabric komplexný súbor funkcií zabezpečenia, ktoré vám umožnia chrániť uložené a prenášané údaje, ako aj riadiť prístup a povolenia pre vašich používateľov a aplikácie.
V tomto článku sa dozviete o bezpečnostných konceptoch a funkciách služby Fabric, ktoré vám môžu s istotou pomôcť pri vytváraní vlastného analytického riešenia pomocou služby Fabric.
Pozadie
Tento článok popisuje scenár, v ktorom ste dátový inžinier, ktorý pracuje pre organizáciu zdravotnej starostlivosti v Spojených štátoch. Organizácia zhromažďuje a analyzuje údaje o pacientoch, ktoré pochádzajú z rôznych systémov vrátane elektronických zdravotných záznamov, výsledkov cvičení, poistných nárokov a nositeľných zariadení.
Plánujete vytvoriť lakehouse pomocou architektúry medailónu v službe Fabric, ktorá sa skladá z troch vrstiev: bronz, striebro a zlato.
- Bronzová vrstva ukladá nespracované údaje pri dodaní zo zdrojov údajov.
- Strieborná vrstva používa kontroly kvality údajov a transformácie na prípravu údajov na analýzu.
- Zlatá vrstva poskytuje agregované a obohatené údaje na vytváranie zostáv a vizualizáciu.
Zatiaľ čo niektoré zdroje údajov sa nachádzajú vo vašej lokálnej sieti, iné sú za bránami firewall a vyžadujú zabezpečený overený prístup. Existujú aj niektoré zdroje údajov, ktoré sa spravujú v službe Azure, napríklad databáza Azure SQL a služba Azure Storage. K týmto zdrojom údajov Azure sa musíte pripojiť spôsobom, ktorý nesprístupňuje údaje verejnému internetu.
Rozhodli ste sa používať službu Fabric, pretože dokáže bezpečne ingestovať, ukladať, spracovávať a analyzovať údaje v cloude. Dôležité je, že tak robí pri dodržiavaní predpisov vášho odvetvia a politík vašej organizácie.
Keďže služba Fabric je softvér ako služba (SaaS), nemusíte zriadiť jednotlivé zdroje, ako napríklad úložisko alebo výpočtové zdroje. Všetko, čo potrebujete, je kapacita služby Fabric.
Je potrebné nastaviť požiadavky na prístup k údajom. Konkrétne musíte zabezpečiť, aby ste k údajom z bronzovej a striebornej vrstvy jazera mali prístup len vy a vaši kolegovia dátoví inžinieri. Tieto vrstvy sú miesta, kde plánujete vykonávať čistenie, overenie, transformáciu a obohatenie údajov. Takisto je potrebné obmedziť prístup k údajom v zlatej vrstve. K zlatej vrstve by mali mať prístup iba oprávnení používatelia vrátane analytikov údajov a podnikových používateľov. Tento prístup vyžadujú na používanie údajov na rôzne analytické účely, ako je napríklad vytváranie zostáv, strojové učenie a prediktívna analýza. Prístup k údajom musí ďalej obmedziť rola a oddelenie používateľa.
Pripojenie k službe Fabric (ochrana prichádzajúcej komunikácie)
Najprv ste nastavili ochranu prichádzajúcej komunikácie, ktorá sa týka toho, ako sa vy a ostatní používatelia prihlasujete a máte prístup k službe Fabric.
Keďže je služba Fabric nasadená v nájomníkovi služby Microsoft Entra, overovanie a oprávnenie spracováva spoločnosť Microsoft Entra. Prihláste sa pomocou konta organizácie v službe Microsoft Entra (pracovné alebo školské konto). V ďalšom kroku zvážite, ako sa budú ostatní používatelia pripájať k službe Fabric.
Nájomník Microsoft Entra predstavuje hranicu zabezpečenia identity, ktorú má pod kontrolou VAŠE IT oddelenie. V rámci tohto limitu zabezpečenia spravovanie objektov spoločnosti Microsoft Entra (napríklad používateľských kont) a konfiguráciu nastavení pre celého nájomníka vykonávajú správcovia IT. Podobne ako každá služba SaaS, aj fabric logicky izoluje nájomníkov. K údajom a zdrojom vo vašom nájomníkovi nemôžu mať nikdy prístup iní nájomníci, pokiaľ im na to výslovne nepovolíte.
Tu je to, čo sa stane, keď sa používateľ prihlási do služby Fabric.
Položka | Popis |
---|---|
Používateľ otvorí prehliadač (alebo klientsku aplikáciu) a prihlási sa na portál služby Fabric. | |
Používateľ je okamžite presmerovaný na ID služby Microsoft Entra a vyžaduje sa na overenie. Overenie overí, že ide o správnu osobu, ktorá sa prihlasuje. | |
Po úspešnom overení webové klientske rozhranie prijme požiadavku používateľa a doručí klientsky obsah (HTML a CSS) z najbližšieho umiestnenia. Smeruje tiež požiadavku do platformy metaúdajov a serverovej kapacity. | |
Platforma metaúdajov, ktorá sa nachádza v domovskej oblasti nájomníka, ukladá metaúdaje vášho nájomníka, ako sú napríklad pracovné priestory a ovládacie prvky prístupu. Táto platforma zaručuje, že používateľ má oprávnenie na prístup k príslušným pracovným priestorom a položkám služby Fabric. | |
Platforma kapacity serverovej kapacity vykonáva výpočtové operácie a ukladá vaše údaje. Nachádza sa v oblasti kapacity. Keď je pracovný priestor priradený ku kapacite služby Fabric, všetky údaje, ktoré sa nachádzajú v pracovnom priestore, vrátane dátového jazera OneLake, sa uložia a spracujú v oblasti kapacity. |
Platforma metaúdajov a platforma kapacity serverovej verzie sú spustené v zabezpečených virtuálnych sieťach. Tieto siete sprístupňujú na internete rad zabezpečených koncových bodov, aby mohli prijímať žiadosti od používateľov a iných služieb. Služby sú okrem týchto koncových bodov chránené pravidlami zabezpečenia siete, ktoré blokujú prístup z verejného internetu.
Keď sa používatelia prihlásia do služby Fabric, môžete vynútiť iné vrstvy ochrany. Týmto spôsobom bude váš nájomník dostupný len pre niektorých používateľov a keď budú splnené iné podmienky, ako napríklad umiestnenie siete a súlad so zariadením. Táto vrstva ochrany sa nazýva ochrana prichádzajúcej komunikácie.
V tomto scenári zodpovedáte za citlivé informácie o pacientoch v službe Fabric. Vaša organizácia teda poverila, aby všetci používatelia, ktorí pristupujú k službe Fabric, museli vykonávať viacfaktorové overovanie (MFA) a že musia byť v podnikovej sieti – len zabezpečenie identity používateľa nestačí.
Vaša organizácia zároveň poskytuje používateľom flexibilitu tým, že im umožňuje pracovať odkiaľkoľvek a používať svoje osobné zariadenia. Keďže Microsoft Intune podporuje službu bring-your-own-device (BYOD), v službe Intune ste zaregistrovali schválené používateľské zariadenia.
Okrem toho je potrebné zabezpečiť, aby tieto zariadenia dodržiavali politiky organizácie. Konkrétne tieto politiky vyžadujú, aby sa zariadenia mohli pripojiť len vtedy, keď majú nainštalovaný najnovší operačný systém a najnovšie opravy zabezpečenia. Tieto požiadavky zabezpečenia nastavíte pomocou podmieneného prístupu Microsoft Entra.
Podmienený prístup ponúka niekoľko spôsobov zabezpečenia nájomníka. Môžete vykonávať nasledujúce činnosti:
- Udelí alebo zablokuje prístup podľa umiestnenia siete.
- Blokovanie prístupu k zariadeniam spusteným v nepodporovaných operačných systémoch.
- Vyžadovať kompatibilné zariadenie, zariadenie pripojené k službe Intune alebo viacfaktorové overovanie (MFA) pre všetkých používateľov.
- A ešte oveľa viac.
V prípade, že potrebujete uzamknúť celého nájomníka služby Fabric, môžete použiť virtuálnu sieť a zablokovať verejný prístup na internet. Prístup do služby Fabric je potom povolený len z tejto zabezpečenej virtuálnej siete. Túto požiadavku nastaví povolenie súkromných prepojení na úrovni nájomníka služby Fabric. Zabezpečuje, aby sa všetky koncové body služby Fabric vyhodnotili na súkromnú IP adresu vo virtuálnej sieti vrátane prístupu ku všetkým zostavám Power BI. (Povolenie súkromných koncových bodov má vplyv na mnohé položky služby Fabric, preto by ste si mali pred povolením dôkladne prečítať tento článok .)
Zabezpečený prístup k údajom mimo služby Fabric (výstupná ochrana)
V ďalšom kroku nastavíte odchádzajúcu ochranu, ktorá sa týka bezpečného prístupu k údajom za bránami firewall alebo súkromnými koncovými bodmi.
Vaša organizácia obsahuje niekoľko zdrojov údajov, ktoré sa nachádzajú vo vašej lokálnej sieti. Keďže tieto zdroje údajov sú za bránami firewall, služba Fabric vyžaduje zabezpečený prístup. Ak chcete službe Fabric povoliť bezpečné pripojenie k lokálnemu zdroju údajov, nainštalujte si lokálnu bránu údajov.
Bránu môžu používať toky údajov a kanály údajov služby Data Factory na ingest, prípravu a transformáciu lokálnych údajov a potom ich načítať do služby OneLake s kopírovaním. Data Factory podporuje komplexnú množinu konektorov , ktoré vám umožnia pripojiť sa k viac než 100 rôznym úchytom údajov.
Potom môžete vytvoriť toky údajov pomocou doplnku Power Query, čo poskytuje intuitívne prostredie s rozhraním s minimálnym použitím kódu. Používa sa na ingestovanie údajov zo svojich zdrojov údajov a ich transformáciu pomocou ľubovoľnej z viac ako 300 transformácií údajov. Potom vytvoríte a zosúlaďujete zložitý proces extrahovania, transformácie a načítania s kanálmi údajov. Procesy ETL dokážu obnoviť toky údajov a vykonávať množstvo rôznych úloh na škálovaní, spracovaní petabajtov údajov.
V tomto scenári už máte viacero procesov ETL. Najprv máte kanály v Azure Data Factory (ADF). V súčasnosti tieto kanály prejdú vaše lokálne údaje a načítajú ich do dátového jazera v službe Azure Storage pomocou modulu runtime na samo hosťovanú integráciu. Po druhé, v službe Azure Databricks je zapísaná v službe Spark architektúru príjmu údajov.
Teraz, keď používate službu Fabric, jednoducho presmerujete výstupné cieľové umiestnenie kanálov ADF tak, aby používali konektor lakehouse. V rámci príjmu v službe Azure Databricks môžete použiť rozhrania API OneLake , ktoré podporujú ovládač Azure Blog Filesystem (ABFS) na integráciu služby OneLake so službou Azure Databricks. (Rovnakú metódu môžete použiť aj na integráciu OneLake so službou Azure Synapse Analytics pomocou Apache Spark.)
K dispozícii máte aj zdroje údajov, ktoré sa nachádzajú v databáze Azure SQL Database. K týmto zdrojom údajov sa musíte pripojiť pomocou súkromných koncových bodov. V tomto prípade sa rozhodnete nastaviť bránu údajov virtuálnej siete (VNet) a pomocou tokov údajov sa bezpečne pripojiť k svojim údajom v službe Azure a načítať ich do služby Fabric. S bránami údajov VNet nemusíte zriadiť a spravovať infraštruktúru (ako to treba urobiť v prípade lokálnej brány údajov). Je to spôsobené tým, že fabric bezpečne a dynamicky vytvára kontajnery vo virtuálnej sieti Azure.
Ak vyvíjate alebo migrujete architektúru príjmu údajov v službe Spark, potom sa môžete k zdrojom údajov v službe Azure pripojiť bezpečne a súkromne z notebookov a úloh služby Fabric pomocou spravovaných súkromných koncových bodov. Spravované súkromné koncové body sa môžu vytvárať v pracovných priestoroch služby Fabric na pripojenie k zdrojom údajov v službe Azure, ktoré zablokovali verejný prístup na internet. Podporujú súkromné koncové body, ako napríklad Databáza Azure SQL a Azure Storage. Spravované súkromné koncové body sa poskytujú a spravujú na spravovanej sieti VNet , ktorá je vyhradená pre pracovný priestor služby Fabric. Na rozdiel od typických virtuálnych sietí služby Azure sa spravované VNets a spravované súkromné koncové body nebudú nachádzať na portáli Azure. Dôvodom je, že ich plne spravuje služba Fabric a nájdete ich v nastaveniach pracovného priestoru.
Keďže už máte veľa údajov uložených v kontách Gen2 služby Azure Data Lake Storage (ADLS), je potrebné pripojiť k nemu iba vyťaženia služby Fabric, ako napríklad Spark a Power BI. Pomocou skratiek OneLake ADLS sa môžete tiež jednoducho pripojiť k existujúcim údajom z akéhokoľvek prostredia služby Fabric, ako sú napríklad kanály integrácie údajov, poznámkové bloky dátového inžinierstva a zostavy Power BI.
Pracovné priestory služby Fabric, ktoré majú identitu pracovného priestoru, môžu bezpečne získať prístup k kontám úložiska ADLS Gen2, aj keď ste zakázali verejnú sieť. Umožňuje to dôveryhodný prístup k pracovnému priestoru. Umožňuje službe Fabric bezpečne sa pripojiť k kontám úložiska pomocou chrbticovej siete spoločnosti Microsoft. To znamená, že komunikácia nepoužíva verejný internet, čo vám umožňuje zakázať prístup verejnej siete ku kontu úložiska, ale aj tak povoliť určitým pracovným priestorom služby Fabric pripojiť sa k nim.
Súlad
Službu Fabric chcete použiť na bezpečné ingestovanie, ukladanie, spracovanie a analýzu údajov v cloude pri zachovaní súladu s predpismi vášho odvetvia a politikami vašej organizácie.
Fabric je súčasťou služieb Microsoft Azure Core Services a riadi sa podmienkami poskytovania online služieb spoločnosti Microsoft a vyhlásením o ochrane osobných údajov spoločnosti Microsoft pre podniky. Hoci certifikácie sa zvyčajne vyskytujú po spustení produktu (Všeobecne dostupné alebo všeobecne dostupné), spoločnosť Microsoft integruje osvedčené postupy dodržiavania súladu od začiatku a počas celého životného cyklu vývoja. Tento proaktívny prístup zaručuje silnú základňu pre budúce certifikácie, aj keď dodržiavajú vytvorené cykly auditu. V jednoduchších podmienkach uprednostníme zostavovanie súladu od začiatku, a to aj v prípade, že formálna certifikácia príde neskôr.
Látka je v súlade s mnohými priemyselnými normami, ako napríklad ISO 27001, 27017, 27018 a 27701. Fabric je tiež HIPAA v súlade, čo je rozhodujúce pre súkromie a bezpečnosť údajov o zdravotnej starostlivosti. Podrobnosti o tom, ktoré cloudové služby sú súčasťou certifikácií, nájdete v dodatkoch A a B v ponukách dodržiavania súladu pre Microsoft Azure. Dokumentáciu auditu môžete získať aj z portálu Service Trust Portal (STP).
Dodržiavanie súladu je zdieľaná zodpovednosť. V záujme dodržiavania zákonov a nariadení musia poskytovatelia cloudových služieb a ich zákazníci zadávať spoločnú zodpovednosť za to, že každý z nich má svoju časť. Pri zvažovanie a vyhodnocovanie verejných cloudových služieb je mimoriadne dôležité rozumieť modelu zdieľanej zodpovednosti a tomu, ktoré úlohy zabezpečenia poskytovateľ cloudu spracováva a ktoré úlohy zvládnete.
Spracovanie údajov
Keďže pracujete s citlivými informáciami o pacientoch, musíte zabezpečiť, aby boli všetky vaše údaje dostatočne uložené aj prenášané.
Šifrovanie v pokoji poskytuje ochranu údajov pre uložené údaje (v pokoji). Útoky na uložené údaje zahŕňajú pokusy o získanie fyzického prístupu k hardvéru, na ktorom sú uložené údaje, a potom ohroziť údaje na danom hardvéri. Šifrovanie v pokoji je navrhnuté tak, aby zabránilo útočníkovi v prístupe k nešifrovaným údajom tým, že zaisťuje, že údaje sú šifrované, keď sú na disku. Šifrovanie v pokoji je povinné opatrenie, ktoré je potrebné na dodržiavanie niektorých priemyselných štandardov a nariadení, ako je medzinárodná organizácia pre normalizáciu (ISO) a zákon o prenosnosti zdravotného poistenia a zodpovednosti (HIPAA).
Všetky ukladacie priestory údajov služby Fabric sú šifrované v pokoji pomocou kľúčov spravovaných spoločnosťou Microsoft, ktoré poskytujú ochranu údajov o zákazníkoch a tiež systémových údajov a metaúdajov. Údaje sa nikdy nezašifrujú do trvalého úložiska, kým sú v nešifrovanom stave. Pomocou kľúčov spravovaných spoločnosťou Microsoft môžete využívať šifrovanie uloženého údajov bez rizika alebo nákladov na riešenie správy vlastných kľúčov.
Údaje sú tiež šifrované pri prenose. Všetky prichádzajúce prenosy do koncových bodov služby Fabric z klientskych systémov vynucujú minimálnu hodnotu protokolu TLS (Transport Layer Security) 1.2. Rokuje tiež o protokole TLS 1.3 vždy, keď je to možné. Protokol TLS poskytuje silné overovanie, ochranu osobných údajov správ a integritu (povolenie detekcie manipulácie so správami, zachytenia a falšovania), interoperabilitu, flexibilitu algoritmov a jednoduchosť nasadenia a používania.
Okrem šifrovania smeruje sieťový prenos medzi služby Microsoft vždy cez globálnu sieť spoločnosti Microsoft, ktorá je jednou z najväčších chrbticových sietí na svete.
Šifrovanie kľúčom spravovaným zákazníkom a službou Microsoft Fabric
Kľúče spravované zákazníkom umožňujú šifrovať uložené údaje pomocou vlastných kľúčov. Služba Microsoft Fabric predvolene šifruje uložené údaje pomocou kľúčov spravovaných platformou. V tomto modeli je spoločnosť Microsoft zodpovedná za všetky aspekty správy kľúčov a uložené údaje v službe OneLake sú šifrované pomocou kľúčov. Z hľadiska dodržiavania súladu môžu zákazníci mať požiadavku na používanie cmk na šifrovanie uloženého údajov. V modeli cmk zákazník predpokladá plnú kontrolu nad kľúčom a používa svoje kľúče na šifrovanie uloženého údajov.
Ak potrebujete použiť CMK na šifrovanie uloženého údajov, odporúčame použiť služby cloudového úložiska (ADLS Gen2, AWS S3, GCS) so povoleným šifrovaním CMK a získať prístup k údajom zo služby Microsoft Fabric pomocou skratiek OneLake. V tomto vzore sa vaše údaje naďalej nachádzajú v službe cloudového úložiska alebo na externom úložisku, kde je povolené šifrovanie pomocou CMK, pričom v prípade zachovania súladu môžete vykonávať operácie čítania na mieste. Po vytvorení odkazu v rámci služby Fabric môžete získať prístup k údajom prostredníctvom iných prostredí služby Fabric.
Pri používaní tohto vzoru je potrebné vziať do úvahy nasledujúce skutočnosti:
- Použite vzor popísaný tu pre údaje, ktoré majú požiadavku na šifrovanie v pokoji pomocou CMK. Údaje, ktoré túto požiadavku nemajú, môžu byť šifrované v pokoji pomocou kľúčov spravovaných platformou a tieto údaje môžu byť natívne uložené v službe Microsoft Fabric OneLake.
- Fabric Lakehouse a databáza KQL sú dve vyťaženia v rámci služby Microsoft Fabric, ktoré podporujú vytváranie skratiek. V tomto vzore, kde sa údaje naďalej nachádzajú v externej službe úložiska, v ktorej je povolená kľúče spravovania (CMK), môžete použiť odkazy v databázach Lakehouses a KQL na prenos údajov do služby Microsoft Fabric na analýzu, ale údaje sa fyzicky ukladajú mimo služby OneLake, kde je povolené šifrovanie CMK.
- Odkaz ADLS Gen2 podporuje zapisovanie a používanie tohto typu odkazu, môžete tiež zapisovať údaje späť do služby úložiska a bude šifrovaná v pokoji pomocou CMK. Pri používaní cmk s ADLS Gen2 sa uplatňujú nasledujúce informácie týkajúce sa služby Azure Key Vault (AKV) a úložiska Azure Storage .
- Ak používate riešenie úložiska tretích strán, ktoré je kompatibilné so službou AWS S3 (Cloudflare, Qumolo Core s verejným koncovým bodom, verejným minio a dell ecs s verejným koncovým bodom) a má povolenú CMK, vzor popísaný v tomto dokumente sa môže rozšíriť na tieto riešenia úložiska tretích strán. Pomocou odkazu kompatibilného so službou Amazon S3 môžete preniesť údaje do služby Fabric pomocou odkazu z týchto riešení. Rovnako ako v prípade cloudových služieb úložiska, môžete ukladať údaje na externom úložisku pomocou šifrovania CMK a vykonávať lokálne operácie čítania.
- AWS S3 podporuje uložené šifrovanie pomocou kľúčov spravovaných zákazníkom. Fabric môže vykonávať na mieste čítanie v sektoroch S3 pomocou klávesovej skratky S3. Operácie zapisovania pomocou odkazu na AWS S3 sa však nepodporujú.
- Cloudový ukladací priestor Google podporuje šifrovanie údajov pomocou kľúčov spravovaných zákazníkom. Fabric môže vykonávať na mieste prečítané v GCS; Operácie zapisovanie pomocou odkazu na GCS však nie sú podporované.
- Umožnenie auditovania služby Microsoft Fabric na sledovanie aktivít.
- Power BI v službe Microsoft Fabric podporuje kľúč spravovaný zákazníkmi pomocou použitie vlastných šifrovacích kľúčov pre službu Power BI.
- Zakážte funkciu ukladania odkazov do vyrovnávacej pamäte pre skratky kompatibilné so službami S3, GCS a S3. uložené vo vyrovnávacej pamäti na OneLake.
Data residency (Pobyt údajov)
Pri práci s údajmi o pacientoch by vaša organizácia z dôvodov dodržiavania súladu poverila, aby údaje nikdy nemali opustiť geografickú hranicu Spojených štátov. Hlavné operácie vašej organizácie sa vykonávajú v New Yorku a vo vašom sídle v Seattli. Počas nastavovania služby Power BI vaša organizácia vybrala oblasť Východná časť USA ako domovskú oblasť nájomníka. Pre svoje operácie ste vytvorili kapacitu služby Fabric v oblasti Západ USA, ktorá je bližšie k zdrojom údajov. Keďže služba OneLake je k dispozícii na celom svete, máte obavy, či môžete pri používaní služby Fabric spĺňať politiky pobytu údajov organizácie.
V službe Fabric zistíte, že môžete vytvárať kapacity funkcie Multi-Geo, ktoré sú kapacitami umiestnenými v iných geografických oblastiach než v domovskej oblasti nájomníka. Týmto kapacitám priradíte pracovné priestory služby Fabric. V tomto prípade vypočítajte a ukladací priestor (vrátane OneLake a ukladacieho priestoru špecifického pre prostredie) pre všetky položky v pracovnom priestore sa nachádzajú v oblasti Multi-Geo, zatiaľ čo metaúdaje vášho nájomníka zostanú v domovskej oblasti. Vaše údaje sa uložia a spracujú iba v týchto dvoch geografických oblastiach, čím sa zabezpečí splnenie požiadaviek na ich pobyt vo vašej organizácii.
Riadenie prístupu
Musíte zabezpečiť, aby ste len vy a vaši kolegovia dátoví inžinieri mali úplný prístup k údajom z bronzových a strieborných vrstiev jazera. Tieto vrstvy vám umožňujú vykonávať čistenie, overenie, transformáciu a obohatenie údajov. Prístup k údajom v zlatej vrstve je potrebné obmedziť len na oprávnených používateľov, ako sú dátoví analytici a podnikoví používatelia, ktorí môžu používať údaje na rôzne analytické účely, ako napríklad vytváranie zostáv a analýza.
Fabric poskytuje flexibilný model povolení, ktorý vám umožňuje ovládať prístup k položkám a údajom vo vašich pracovných priestoroch. Pracovný priestor je nevyliečiteľná logická entita na zoskupenie položiek v službe Fabric. Roly pracovného priestoru používate na riadenie prístupu k položkám v pracovných priestoroch. Štyri základné roly pracovného priestoru sú:
- Správca: môže zobrazovať, upravovať, zdieľať a spravovať všetok obsah v pracovnom priestore vrátane spravovania povolení.
- Člen: Môže zobrazovať, upravovať a zdieľať všetok obsah v pracovnom priestore.
- Prispievateľ: Môže zobraziť a upraviť všetok obsah v pracovnom priestore.
- Čitateľ: môže zobraziť všetok obsah v pracovnom priestore, ale nemôže ho upravovať.
V tomto scenári vytvoríte tri pracovné priestory, jeden pre každú z vrstiev medailónu (bronz, striebro a zlato). Keďže ste vytvorili pracovný priestor, automaticky ste priradení k role správcu.
Potom pridáte skupinu zabezpečenia pre rolu Prispievateľ týchto troch pracovných priestorov. Keďže skupina zabezpečenia zahŕňa vašich kolegov inžinierov ako členov, sú schopní vytvárať a upravovať položky služby Fabric v týchto pracovných priestoroch, nemôžu však zdieľať žiadne položky s nikým iným. Nemôžu tiež udeliť prístup iným používateľom.
V bronzových a strieborných pracovných priestoroch vytvárate vy a vaši kolegovia inžinieri položky služby Fabric na ukladanie údajov, ukladanie údajov a spracovanie údajov. Položky tkaniny zahŕňajú lakehouse, potrubia a poznámkové bloky. V zlatom pracovnom priestore vytvoríte dva domovy lakehouse, viacero kanálov a poznámkových blokov a sémantický model Direct Lake, ktorý poskytuje rýchly výkon dotazov údajov uložených v jednom z domov jazera.
Potom dôkladne zvážte, ako môžu dátoví analytici a podnikoví používatelia získať prístup k údajom, ku ktorým majú prístup. Konkrétne môžu získať prístup len k údajom, ktoré sú relevantné pre ich rolu a oddelenie.
Prvý domov lakehouse obsahuje skutočné údaje a nevynucuje žiadne povolenia pre údaje v koncovom bode analýzy SQL. Druhý súbor lakehouse obsahuje odkazy na prvý domov lakehouse a vynucuje podrobné povolenia údajov vo svojom koncovom bode analýzy SQL. Sémantický model sa pripája k prvému úschovňu jazera. Ak chcete vynútiť príslušné povolenia pre údaje pre používateľov (aby mohli získať prístup len k údajom, ktoré sú relevantné pre ich rolu a oddelenie), nezdieľate s používateľmi prvú úzovňu jazera. Namiesto toho zdieľate iba sémantický model Direct Lake a druhý domov lakehouse, ktorý vynúti povolenia pre údaje v koncovom bode analýzy SQL.
V sémantickom modeli nastavte na používanie pevnej identity a potom do sémantického modelu implementujte zabezpečenie na úrovni riadkov (RLS), aby ste mohli vynútiť pravidlá modelu a riadiť, ku ktorým údajom môžu používatelia získať prístup. Potom zdieľate len sémantický model s analytikmi údajov a podnikovými používateľmi, pretože by nemali pristupovať k iným položkám v pracovnom priestore, ako sú napríklad kanály a poznámkové bloky. Nakoniec udelíte povolenie na vytváranie v sémantickom modeli, aby používatelia mohli vytvárať zostavy Power BI. Týmto spôsobom sa sémantický model stane zdieľaným sémantickým modelom a zdrojom pre ich zostavy Power BI.
Vaši dátoví analytici potrebujú prístup k druhému domovu jazier v zlatom pracovnom priestore. Pripojí sa ku koncovému bodu sql analytics tohto jazera, aby mohli písať dotazy SQL a vykonávať analýzu. Takže s nimi zdieľate tento objekt lakehouse a poskytnete prístup iba k objektom, ktoré potrebujú (ako sú tabuľky, riadky a stĺpce s pravidlami maskovania) v koncovom bode analýzy SQL lakehouse pomocou modelu zabezpečenia SQL. Dátoví analytici teraz môžu pristupovať len k údajom, ktoré sú relevantné pre ich rolu a oddelenie, a nemôžu získať prístup k iným položkám v pracovnom priestore, ako sú napríklad kanály a poznámkové bloky.
Bežné scenáre zabezpečenia
Nasledujúca tabuľka obsahuje zoznam bežných scenárov zabezpečenia a nástrojov, ktoré môžete použiť na ich uskutočnenie.
Scenár | Nástroje | Smer |
---|---|---|
Som vývojár ETL a chcem načítať veľké objemy údajov do služby Fabric z viacerých zdrojových systémov a tabuliek. Zdrojové údaje sú lokálne (alebo iný cloud) a sú za bránami firewall a/alebo zdrojmi údajov služby Azure so súkromnými koncovými bodmi. | Používanie lokálnej brány údajov s kanálmi údajov (kopírovanie aktivity). | Odchádzajúce |
Som používateľ s energiou a chcem načítať údaje do služby Fabric zo zdrojových systémov, ku ktorým mám prístup. Keďže nie som vývojár, musím transformovať údaje pomocou rozhrania s minimálnym použitím kódu. Zdrojové údaje sú lokálne (alebo iný cloud) a sú za bránami firewall. | Použite lokálnu bránu údajov s tokom údajov Gen2. | Odchádzajúce |
Som používateľ s energiou a chcem načítať údaje do služby Fabric zo zdrojových systémov, ku ktorým mám prístup. Zdrojové údaje sú v službe Azure za súkromnými koncovými bodmi a nechcem inštalovať a udržiavať infraštruktúru lokálnej brány údajov. | Použite bránu údajov VNet s tokom údajov Gen2. | Odchádzajúce |
Som vývojár, ktorý môže zapisovať kód príjmu údajov pomocou poznámkových blokov Služby Spark. Chcem načítať údaje do služby Fabric zo zdrojových systémov, ku ktorým mám prístup. Zdrojové údaje sú v službe Azure za súkromnými koncovými bodmi a nechcem inštalovať a udržiavať infraštruktúru lokálnej brány údajov. | Používajte poznámkové bloky služby Fabric so súkromnými koncovými bodmi služby Azure. | Odchádzajúce |
Mám veľa existujúcich kanálov v kanáloch Azure Data Factory (ADF) a Synapse, ktoré sa pripájajú k zdrojom údajov a načítavajú údaje do Azure. Teraz chcem tieto kanály upraviť, aby sa údaje načítali do služby Fabric. | Použite konektor Lakehouse v existujúcich kanáloch. | Odchádzajúce |
V službe Spark mám vyvinutú architektúru príjmu údajov, ktorá sa bezpečne pripája k zdrojom údajov a načíta ich do služby Azure. Spúšťam ho v službe Azure Databricks alebo Synapse Spark. Chcem pokračovať v používaní služieb Azure Databricks alebo Synapse Spark na načítanie údajov do služby Fabric. | Používanie služby OneLake a rozhrania API služby Azure Data Lake Storage (ADLS) Gen2 (ovládač systému súborov Azure Blob) | Odchádzajúce |
Chcem sa uistiť, že moje koncové body služby Fabric sú chránené pred verejným internetom. | Ako služba SaaS je už koncový server služby Fabric chránený pred verejným internetom. V záujme väčšej ochrany použite politiky podmieneného prístupu spoločnosti Microsoft Entra pre službu Fabric a/alebo povoľte súkromné prepojenia na úrovni nájomníka pre službu Fabric a zablokujte verejný prístup na internet. | Prichádzajúce |
Chcem zaistiť, aby k službe Fabric bolo možné pristupovať len z mojej podnikovej siete a/alebo z kompatibilných zariadení. | Použite politiky podmieneného prístupu spoločnosti Microsoft Entra pre službu Fabric. | Prichádzajúce |
Chcem zabezpečiť, aby ktokoľvek, kto pristupuje do služby Fabric, musel vykonávať viacfaktorové overovanie. | Použite politiky podmieneného prístupu spoločnosti Microsoft Entra pre službu Fabric. | Prichádzajúce |
Chcem zamknúť celý môj nájomník Fabric z verejného internetu a povoliť prístup len z mojich virtuálnych sietí. | Povoľte súkromné prepojenia na úrovni nájomníka pre službu Fabric a zablokujte verejný prístup na internet. | Prichádzajúce |
Súvisiaci obsah
Ďalšie informácie o zabezpečení služby Fabric nájdete v nasledujúcich zdrojoch.
- Zabezpečenie v službe Microsoft Fabric
- Prehľad zabezpečenia OneLake
- Koncepty a licencie na microsoft Fabric
- Máte nejaké otázky? Skúste sa spýtať v komunite služby Microsoft Fabric.
- Návrhy? Prispejte nápadmi na zlepšenie služby Microsoft Fabric.