Aracılığıyla paylaş

Gelen trafiği koruma

  • Makale

Gelen trafik, İnternet'ten Fabric'e gelen trafiktir. Bu makalede, Microsoft Fabric'te gelen trafiği korumanın iki yolu arasındaki farklar, özel bağlantılar ve Entra Koşullu Erişim açıklanmaktadır. Kuruluşunuz için en uygun yöntemi belirlemek için bu makaleyi kullanın.

  • Özel bağlantılar (Seçenek 1, Müşteri sanal ağı) - Doku, sanal ağınızdan bir özel IP adresi kullanır. Uç nokta, ağınızdaki kullanıcıların özel bağlantıları kullanarak özel IP adresi üzerinden Doku ile iletişim kurmasına olanak tanır.

  • Entra Koşullu Erişim - (Seçenek 2, Kullanıcı) - Bir kullanıcı erişim kimliğini doğruladığında, IP adresi, konum ve yönetilen cihazlar içerebilecek bir ilke kümesine göre belirlenir.

Doku, sanal ağlar ve Microsoft Entra Id'ye gelen trafik için iki kimlik doğrulama yöntemini gösteren diyagram.

Doku'ya giren trafik, Microsoft 365, OneDrive ve Dynamics 365 tarafından kullanılan kimlik doğrulama yöntemi olan Microsoft Entra ID tarafından doğrulanır. Microsoft Entra Id kimlik doğrulaması, kullanıcıların ister evde, ister uzak ister şirket ofislerinde olsun, herhangi bir cihazdan ve herhangi bir ağdan bulut uygulamalarına güvenli bir şekilde bağlanmasını sağlar.

Doku arka uç platformu bir sanal ağ tarafından korunur ve güvenli uç noktalar dışındaki genel İnternet'ten doğrudan erişilemez. Doku'da trafiğin nasıl korunduğunu anlamak için Doku'nun Mimari diyagramını gözden geçirin.

Varsayılan olarak, Doku iç Microsoft omurga ağını kullanarak deneyimler arasında iletişim kurar. Bir Power BI raporu OneLake'ten veri yüklediğinde, veriler iç Microsoft ağından geçer. Bu yapılandırma, özel bir ağ üzerinden birbirine bağlanmak için birden çok Hizmet Olarak Platform (PaaS) hizmeti ayarlamak zorunda kalmaktan farklıdır. Tarayıcınız veya SQL Server Management Studio (SSMS) ve Doku gibi istemciler arasında gelen iletişim, TLS 1.2 protokolunu kullanır ve mümkün olduğunda TLS 1.3 ile anlaşma sağlar.

Doku'nun varsayılan güvenlik ayarları şunlardır:

  • Her isteğin kimliğini doğrulamak için kullanılan Microsoft Entra Kimliği .

  • Kimlik doğrulaması başarılı olursa, istekler güvenli Microsoft yönetilen uç noktaları aracılığıyla uygun arka uç hizmetine yönlendirilir.

  • Doku'daki deneyimler arasındaki iç trafik Microsoft omurgası üzerinden yönlendirilir.

  • İstemciler ve Doku arasındaki trafik en azından Aktarım Katmanı Güvenliği (TLS) 1.2 protokolü kullanılarak şifrelenir.

Koşullu Erişimi Entra

Doku ile her etkileşimin kimliği Microsoft Entra Id ile doğrulanır. Microsoft Entra Id, kuruluşunuzun ağ çevresi içinde tam olarak korunmadığınızı varsayan Sıfır Güven güvenlik modelini temel alır. Sıfır Güven ağınıza güvenlik sınırı olarak bakmak yerine, kimliği güvenlik için birincil çevre olarak görür.

Kimlik doğrulaması sırasında erişimi belirlemek için kullanıcılarınızın kimliğine, cihaz bağlamlarına, konumuna, ağına ve uygulama duyarlılığına göre koşullu erişim ilkeleri tanımlayabilir ve uygulayabilirsiniz. Örneğin, Doku'daki verilerinize ve kaynaklarınıza erişmek için çok faktörlü kimlik doğrulaması, cihaz uyumluluğu veya onaylı uygulamalar gerektirebilirsiniz. Ayrıca riskli konumlardan, cihazlardan veya ağlardan erişimi engelleyebilir veya sınırlayabilirsiniz.

Koşullu erişim ilkeleri, kullanıcı üretkenliğinden ve deneyiminden ödün vermeden verilerinizi ve uygulamalarınızı korumanıza yardımcı olur. Aşağıda, koşullu erişim kullanarak uygulayabileceğiniz erişim kısıtlamalarına birkaç örnek verilmiştir.

  • Doku'ya gelen bağlantı için IP'lerin listesini tanımlayın.

  • Çok Faktörlü Kimlik Doğrulaması (MFA) kullanın.

  • Trafiği kaynak ülke veya cihaz türü gibi parametrelere göre kısıtlayın.

Doku, kullanıcı adlarını ve parolaları kullanan hesap anahtarları veya SQL kimlik doğrulaması gibi diğer kimlik doğrulama yöntemlerini desteklemez.

Koşullu erişim yapılandırma

Doku'da koşullu erişimi yapılandırmak için Power BI, Azure Veri Gezgini, Azure SQL Veritabanı ve Azure Depolama gibi Doku ile ilgili birkaç Azure hizmetini seçmeniz gerekir.

Not

Doku'ya ve ilgili Azure hizmetlerine herhangi bir ilke uygulanacağı için koşullu erişim bazı müşteriler için çok geniş kabul edilebilir.

Lisanslama

Koşullu erişim için Microsoft Entra ID P1 lisansları gerekir. Genellikle bu lisanslar, Microsoft 365 gibi diğer Microsoft ürünleriyle paylaşıldığından kuruluşunuzda zaten kullanılabilir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Lisans gereksinimleri.

Güvenilir erişim

Verilerinizi tek bir ağda depolamış olsanız bile dokunuzun özel ağınızda bulunması gerekmez. PaaS hizmetlerinde, işlem depolama hesabıyla aynı özel ağa konur. Ancak, Doku ile bu gerekli değildir. Doku'ya güvenilir erişimi etkinleştirmek için şirket içi Veri ağ geçitleri, Güvenilen çalışma alanı erişimi ve yönetilen özel uç noktalar gibi özellikleri kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft Fabric'te güvenlik.

Özel uç noktalarla hizmetinize sanal ağınızdan bir özel IP adresi atanır. Uç nokta, ağdaki diğer kaynakların özel IP adresi üzerinden hizmetle iletişim kurmasına olanak tanır.

Özel bağlantıları kullanarak, hizmetten alt ağlarınızdan birine bir tünel özel bir kanal oluşturur. Dış cihazlardan gelen iletişim, IP adreslerinden bu alt ağdaki özel uç noktaya, tünel üzerinden ve hizmete gider.

Özel bağlantılar uygulandıktan sonra, dokuya artık genel İnternet üzerinden erişilmez. Doku'ya erişmek için tüm kullanıcıların özel ağ üzerinden bağlanması gerekir. Özel ağ, bir Power BI raporunu tarayıcıda görüntüleme ve gibi <guid_unique_your_item>.datawarehouse.fabric.microsoft.combir SQL bağlantı dizesine bağlanmak için SQL Server Management Studio (SSMS) kullanma dahil olmak üzere Doku ile yapılan tüm iletişimler için gereklidir.

Şirket içi ağlar

Şirket içi ağları kullanıyorsanız, özel bağlantıları kullanarak Doku'ya erişmek için ExpressRoute bağlantı hattını veya siteden siteye VPN'i kullanarak bunları Azure Sanal Ağ 'a (VNet) genişletebilirsiniz.

Bant genişliği

Özel bağlantılarla, Doku'ya yönelik tüm trafik özel uç nokta üzerinden geçer ve bu da olası bant genişliği sorunlarına neden olur. Kullanıcılar artık görüntü .css ve Doku tarafından kullanılan .html dosyaları gibi veriyle ilgili olmayan genel kaynakları kendi bölgelerinden yükleyemez. Bu kaynaklar özel uç noktanın konumundan yüklenir. Örneğin, ABD özel uç noktası olan Avustralyalı kullanıcılar için trafik önce ABD'ye gider. Bu, yükleme sürelerini artırır ve performansı düşürebilir.

Maliyet

Özel bağlantıların maliyeti ve ağınızdan özel bağlantıya izin vermek için ExpressRoute bant genişliğinin artması kuruluşunuza maliyet katabilir.

Dikkat edilecekler ve sınırlamalar

Özel bağlantılarla Fabric'i genel İnternet'e kapatıyorsunuz. Sonuç olarak, dikkate almanız gereken birçok önemli nokta ve sınırlama vardır.

İlgili içerik