第 16 章. 确保 Microsoft Fabric 的安全

保证数据安全的需求一直备受关注，，作为统一数据平台的 Microsoft Fabric 也不例外。在实际实施过程中，Microsoft Fabric 要处理各种工作负载（数据工程、数据仓库、数据科学和实时智能）中的大量敏感信息。如果没有适当的安全措施（如数据访问控制、敏感性标签等），这些敏感数据可能会暴露在未经授权的访问或破坏之下。

在本章中，我们将探讨各种选项和功能，以便实施强大的安全策略来保护敏感信息。

安全性是任何数据分析解决方案的一个关键方面。Microsoft Fabric 提供了广泛的安全功能，以确保数据在静态和传输过程中的安全，并实现对用户和应用程序的访问和权限控制。

Microsoft Fabric 的安全性有几个方面，让我们简单介绍一下：

身份验证

与 Microsoft Office 或 OneDrive 等其他 Microsoft SaaS 解决方案一样，Fabric 依赖 Microsoft Entra ID 作为其基于 Cloud 的身份提供商。Entra ID 可让您从任何设备和任何 Network+ 轻松连接。

网络安全

在各种场景中，您需要利用驻留在 Microsoft Fabric 之外的数据。 在配置网络安全时，需要考虑两个方向：入站和出站。

入站安全负责保护进入 Fabric 的流量。 在这里，您可以选择 Entra ID 有条件访问和专用链接：

• 通过实施 Entra ID 有条件访问，您可以为 Fabric 的入站连接定义 IP 地址列表，使用多因素身份验证 (MFA)，或根据特定参数（如国家或设备类型）限制流量。

• 专用链接允许限制仅从 VNet（Azure 虚拟网络）对 Fabric 租户的访问，同时阻止所有公共访问。

出站安全可以连接到外部数据源，并以安全的方式将数据引入 Fabric。让我们探索连接外部数据的不同方式：

• 可信工作区 访问是使用工作区身份的 Fabric 工作区，可从选定的虚拟网络和 IP 地址安全访问 Azure Data Lake Gen2 存储帐户，并启用公共网络访问。

• 托管专用端点允许与 Azure SQL 数据库等数据源进行安全连接，而不会将其暴露在公共网络中。

• 托管虚拟网络是由 Fabric 为每个 Fabric 工作区创建和管理的虚拟网络。它们为 Spark 工作负载提供网络隔离，确保 Spark 计算集群在专用网络中进行配置。

• 数据网关可使用内部数据网关安全连接到内部数据源，或连接到可能受防火墙或虚拟网络保护的数据源。在后一种情况下，您可以使用 VNet 数据网关。

• 当您需要使用现有 PaaS 服务（如 Azure Synapse Analytics 或 Azure Data Factory）连接到 Fabric 时，从现有服务连接到 OneLake 可能很有用。在这些场景中，可以使用 Azure Integration Runtime (IR) 或 Azure Data Factory 管理的虚拟网络。

数据安全

当您在 OneLake 中存储数据时，所有数据在静态时都经过加密，并存储在租户所在区域或您选择的不同区域的某个容量中。这是在多个地区开展业务的企业的共同要求。

让我们设想一家总部位于美国的全球零售商，其商品销售遍布全球。为了遵守当地法规，该公司必须确保数据在不同地区保持静态存储。 ...