Fundamentos de segurança do Microsoft Fabric

Este artigo apresenta uma perspetiva geral da arquitetura de segurança do Microsoft Fabric, descrevendo como funcionam os principais fluxos de segurança no sistema. Ele também descreve como os usuários se autenticam com o Fabric, como as conexões de dados são estabelecidas e como o Fabric armazena e move dados pelo serviço.

O artigo destina-se principalmente aos administradores do Fabric, que são responsáveis por supervisionar o Fabric na organização. Também é relevante para as partes interessadas em segurança empresarial, incluindo administradores de segurança, administradores de rede, administradores do Azure, administradores de espaço de trabalho e administradores de banco de dados.

Plataforma de malha

O Microsoft Fabric é uma solução de análise tudo-em-um para empresas que abrange tudo, desde a movimentação de dados até ciência de dados, análise em tempo real e business intelligence (BI). A plataforma Fabric compreende uma série de serviços e componentes de infraestrutura que suportam a funcionalidade comum para todas as experiências Fabric. Coletivamente, eles oferecem um conjunto abrangente de experiências de análise projetadas para trabalhar juntas sem problemas. As experiências incluem Lakehouse, Data Factory, Synapse Data Engineering, Synapse Data Warehouse, Power BI e outros.

Com o Fabric, você não precisa reunir serviços diferentes de vários fornecedores. Em vez disso, você se beneficia de um produto altamente integrado, completo e fácil de usar, projetado para simplificar suas necessidades de análise. O tecido foi projetado desde o início para proteger ativos sensíveis.

A plataforma Fabric é construída sobre uma base de software como serviço (SaaS), que oferece confiabilidade, simplicidade e escalabilidade. Ele é construído no Azure, que é a plataforma de computação em nuvem pública da Microsoft. Tradicionalmente, muitos produtos de dados são plataforma como serviço (PaaS), exigindo que um administrador do serviço configure segurança, conformidade e governança para cada serviço. Como o Fabric é um serviço SaaS, muitos desses recursos são incorporados à plataforma SaaS e não exigem nenhuma configuração ou configuração mínima.

Diagrama arquitetónico

O diagrama de arquitetura abaixo mostra uma representação de alto nível da arquitetura de segurança do Fabric.

O diagrama arquitetónico descreve os seguintes conceitos.

1. Um usuário usa um navegador ou um aplicativo cliente, como o Power BI Desktop, para se conectar ao serviço de malha.

2. A autenticação é tratada pelo Microsoft Entra ID, anteriormente conhecido como Azure Ative Directory, que é o serviço de gerenciamento de identidade e acesso baseado em nuvem que autentica o usuário ou a entidade de serviço e gerencia o acesso ao Fabric.

3. O front-end da Web recebe solicitações do usuário e facilita o login. Ele também encaminha solicitações e fornece conteúdo front-end para o usuário.

4. A plataforma de metadados armazena metadados do locatário, que podem incluir dados do cliente. Os serviços de malha consultam essa plataforma sob demanda para recuperar informações de autorização e autorizar e validar solicitações de usuários. Ele está localizado na região de origem do inquilino.

5. A plataforma de capacidade de back-end é responsável pelas operações de computação e pelo armazenamento de dados do cliente e está localizada na região de capacidade. Ele aproveita os serviços principais do Azure nessa região conforme necessário para experiências específicas do Fabric.

Os serviços de infraestrutura da plataforma de malha são multilocatário. Existe um isolamento lógico entre os inquilinos. Esses serviços não processam entradas complexas do usuário e são todos escritos em código gerenciado. Os serviços da plataforma nunca executam nenhum código escrito pelo usuário.

A plataforma de metadados e a plataforma de capacidade de back-end são executadas em redes virtuais seguras. Estas redes expõem uma série de terminais seguros à Internet para que possam receber pedidos de clientes e outros serviços. Para além destes terminais, os serviços estão protegidos por regras de segurança de rede que bloqueiam o acesso a partir da Internet pública. A comunicação dentro de redes virtuais também é restrita com base no privilégio de cada serviço interno.

A camada de aplicativo garante que os locatários só possam acessar dados de dentro de seu próprio locatário.

Autenticação

O Fabric depende do Microsoft Entra ID para autenticar usuários (ou entidades de serviço). Quando autenticados, os usuários recebem tokens de acesso do Microsoft Entra ID. O Fabric usa esses tokens para executar operações no contexto do usuário.

Uma das principais características do Microsoft Entra ID é o acesso condicional. O acesso condicional garante que os locatários estejam seguros impondo a autenticação multifator, permitindo que apenas dispositivos registrados no Microsoft Intune acessem serviços específicos. O acesso condicional também restringe os locais dos usuários e os intervalos de IP.

Autorização

Todas as permissões do Fabric são armazenadas centralmente pela plataforma de metadados. Os serviços de malha consultam a plataforma de metadados sob demanda para recuperar informações de autorização e autorizar e validar solicitações de usuários.

Por motivos de desempenho, o Fabric às vezes encapsula informações de autorização em tokens assinados. Os tokens assinados são emitidos apenas pela plataforma de capacidade de back-end e incluem o token de acesso, informações de autorização e outros metadados.

Residência de dados

No Fabric, um locatário é atribuído a um cluster de plataforma de metadados doméstico, localizado em uma única região que atende aos requisitos de residência de dados da geografia dessa região. Os metadados do locatário, que podem incluir dados do cliente, são armazenados nesse cluster.

Os clientes podem controlar onde seus espaços de trabalho estão localizados. Eles podem optar por localizar seus espaços de trabalho na mesma geografia que o cluster de plataforma de metadados, seja explicitamente atribuindo seus espaços de trabalho em capacidades nessa região ou implicitamente usando o modo de licença Avaliação de Malha, Power BI Pro ou Power BI Premium Por Usuário. Neste último caso, todos os dados do cliente são armazenados e processados nesta única geografia. Para obter mais informações, consulte Conceitos e licenças do Microsoft Fabric.

Os clientes também podem criar capacidades Multi-Geo localizadas em geografias (geos) diferentes da sua região de origem. Nesse caso, a computação e o armazenamento (incluindo o OneLake e o armazenamento específico da experiência) estão localizados na região multigeográfica, no entanto, os metadados do locatário permanecem na região inicial. Os dados dos clientes só serão armazenados e processados nestas duas geografias. Para obter mais informações, consulte Configurar o suporte a Multi-Geo para malha.

Processamento de dados

Esta seção fornece uma visão geral de como o tratamento de dados funciona no Fabric. Ele descreve o armazenamento, o processamento e a movimentação de dados do cliente.

Dados inativos

Todos os armazenamentos de dados do Fabric são criptografados em repouso usando chaves gerenciadas pela Microsoft. Os dados de malha incluem dados do cliente, bem como dados do sistema e metadados.

Embora os dados possam ser processados na memória em um estado não criptografado, eles nunca persistem para armazenamento permanente enquanto estão em um estado não criptografado.

Dados em trânsito

Os dados em trânsito na Internet pública entre os serviços da Microsoft são sempre criptografados com, pelo menos, TLS 1.2. A malha negocia com TLS 1.3 sempre que possível. O tráfego entre os serviços Microsoft é sempre encaminhado através da rede global da Microsoft.

A comunicação de malha de entrada também impõe o TLS 1.2 e negocia com o TLS 1.3, sempre que possível. A comunicação de malha de saída com a infraestrutura de propriedade do cliente prefere protocolos seguros, mas pode voltar para protocolos mais antigos e inseguros (incluindo TLS 1.0) quando os protocolos mais recentes não são suportados.

Telemetria

A telemetria é usada para manter o desempenho e a confiabilidade da plataforma Fabric. O armazenamento de telemetria da plataforma Fabric foi projetado para estar em conformidade com as regulamentações de dados e privacidade para clientes em todas as regiões onde o Fabric está disponível, incluindo a União Europeia (UE). Para obter mais informações, consulte Serviços de fronteira de dados da UE.

OneLake

O OneLake é um data lake lógico único e unificado para toda a organização e é provisionado automaticamente para cada locatário do Fabric. Ele é criado no Azure e pode armazenar qualquer tipo de arquivo, estruturado ou não estruturado. Além disso, todos os itens de malha, como armazéns e lakehouses, armazenam automaticamente seus dados no OneLake.

O OneLake suporta as mesmas APIs e SDKs do Azure Data Lake Storage Gen2 (ADLS Gen2), portanto, é compatível com aplicativos ADLS Gen2 existentes, incluindo o Azure Databricks.

Para obter mais informações, consulte Malha e segurança OneLake.

Segurança do espaço de trabalho

Os espaços de trabalho representam o principal limite de segurança para os dados armazenados no OneLake. Cada espaço de trabalho representa um único domínio ou área de projeto onde as equipes podem colaborar em dados. Você gerencia a segurança no espaço de trabalho atribuindo usuários a funções de espaço de trabalho.

Para obter mais informações, consulte Segurança de malha e OneLake (segurança de espaço de trabalho).

Segurança do artigo

Dentro de um espaço de trabalho, você pode atribuir permissões diretamente a itens de malha, como armazéns e lagos. A segurança do item oferece a flexibilidade de conceder acesso a um item de malha individual sem conceder acesso a todo o espaço de trabalho. Os usuários podem configurar permissões por item compartilhando um item ou gerenciando as permissões de um item.

Recursos de conformidade

O serviço Fabric é regido pelos Termos do Microsoft Online Services e pela Declaração de Privacidade da Microsoft Enterprise.

Para obter o local do processamento de dados, consulte os termos de Localização do Processamento de Dados nos Termos do Microsoft Online Services e no Adendo de Proteção de Dados.

Para obter informações de conformidade, a Central de Confiabilidade da Microsoft é o principal recurso do Fabric. Para obter mais informações sobre conformidade, consulte Ofertas de conformidade da Microsoft.

O serviço Fabric segue o Security Development Lifecycle (SDL), que consiste em um conjunto de práticas de segurança rigorosas que oferecem suporte aos requisitos de garantia de segurança e conformidade. O SDL ajuda os desenvolvedores a construir software mais seguro, reduzindo o número e a gravidade das vulnerabilidades no software, enquanto reduz o custo de desenvolvimento. Para obter mais informações, consulte Práticas do ciclo de vida do desenvolvimento de segurança da Microsoft.

Conteúdos relacionados

Para obter mais informações sobre a segurança do Fabric, consulte os recursos a seguir.

• Segurança no Microsoft Fabric
• Cenário de segurança de ponta a ponta do Microsoft Fabric
• Visão geral da segurança do OneLake
• Conceitos e licenças do Microsoft Fabric
• Perguntas? Tente perguntar à comunidade do Microsoft Fabric.
• Sugestões? Contribua com ideias para melhorar o Microsoft Fabric.