Dieser Blogbeitrag gibt Ihnen einen Überblick über die Sicherheitsmerkmale von Microsoft Fabric und zeigt auf, wie Sie die Plattform optimal absichern können.
Mit der fortschreitenden Digitalisierung wird der Schutz sensibler Daten immer wichtiger. Microsoft Fabric, eine moderne Plattform für Datenanalyse und -verwaltung, bietet eine Vielzahl integrierter Sicherheitsfunktionen, die Organisationen helfen, ihre Daten zu schützen und Compliance-Standards einzuhalten.
Die wichtigsten Sicherheitsgrundsätze auf einen Blick:
- Entra ID-gestützte Zero-Trust-Authentifizierung: Kontinuierliche Multi-Faktor-Identitätsprüfung mit adaptiven Zugriffsrichtlinien
- Umfassende Datensicherheit: Automatische Verschlüsselung bei der Übertragung und im Ruhezustand, Einhaltung globaler Sicherheitsstandards
- Granulare Zugriffskontrollen: Sicherheitsmanagement auf Arbeitsbereichs- und Computerebene mit Funktionen zur Vermeidung von Datenverlusten
- Flexible Netzwerkoptionen: Unterstützt sowohl Zero-Trust- als auch private Netzwerkansätze mit Datenresidenz in mehreren Regionen
- Weiterentwickeltes Sicherheitsmodell: Kontinuierliche Verbesserungen in Richtung universeller Sicherheit für alle Compute Engines und tiefe Microsoft Purview-Integration
Welche Sicherheitsfunktionen sind in Fabric integriert?
Fabric vermarktet das so genannte „Zero-Trust“ Sicherheitsmodell, welches auf Entra-ID basiert. Das Modell prüft jede Zugriffsanfrage individuell und bietet eine kontinuierliche Verifizierung. Sehen wir uns die einzelnen Punkte des Modells genauer an:
Authentifizierung und Autorisierung
Die Plattform verwendet Microsoft Entra ID (ehemals Azure Active Directory) für die zentrale Verwaltung von Benutzern, Rollen und Berechtigungen. Mit einer rollenbasierter Zugriffskontrolle (RBAC) können Administratoren genau festlegen, wer auf welche Daten und Funktionen zugreifen darf. Zudem können benutzerdefinierte Rollen für spezifische Anforderungen erstellt werden.
Datenresidenz und -verschlüsselung
Fabric ermöglicht es, die Region auszuwählen, in der Daten gespeichert und verarbeitet werden, um Compliance- und Leistungsanforderungen zu erfüllen. Für zusätzliche Sicherheit verschlüsselt die Plattform Daten sowohl im Ruhezustand als auch bei der Übertragung mit branchenüblichen Protokollen wie TLS. Unternehmen können außerdem eigene Verschlüsselungsschlüssel verwenden, um die Kontrolle über ihre Daten zu behalten.
Lernen Sie alles über moderne Datenplattformen:
Datenmaskierung
Um sensible Daten vor unbefugtem Zugriff zu schützen, bietet Microsoft Fabric dynamische Datenmaskierung. Diese Funktion verbirgt die tatsächlichen Werte sensibler Daten und zeigt stattdessen Platzhalterdaten an – ideal für Entwicklungs- oder Testumgebungen.
Wir unterstützen Sie bei dem Aufbau einer kugelsicheren Fabric Umgebung. Kontaktieren Sie uns!
Auditing und Überwachung
Fabric verfügt über robuste Überwachungs- und Auditing-Funktionen, wie etwa Azure Monitor und das Azure Security Center, um verdächtige Aktivitäten zu erkennen und Bedrohungen frühzeitig zu bekämpfen. Diese Tools helfen, Transparenz über die Datennutzung und Zugriffsversuche zu schaffen.
Sicherheitsrollen und Berechtigungen
Eine zentrale Komponente der Sicherheitsarchitektur von Fabric ist die Verwaltung von Berechtigungen:
Arbeitsbereichsberechtigung
Die Workspace Permissions stellen sicher, dass nur berechtigte Personen auf einen Arbeitsbereich zugriff erhalten. Den Zugriff erteilen Sie über vier verschiedene Rollen: Admin, Member, Contributor und Viewer.
Die Berechtigungen für den gesamten Arbeitsbereich sind über diese Rollen geregelt. Dabei können Sie Rollen entweder Einzelpersonen oder ganzen Gruppen zuweisen.
Problematisch ist hier folgendes: Wenn Sie einer Gruppe das Admin-Recht für einen Arbeitsbereich zuweisen, dann verfügt jedes Mitglied dieser Gruppe automatisch das Admin-Recht. Ist ein Mitglied von Workspace A (der Admin Gruppe) auch Mitglied in Gruppe C (einer Gruppe die nur als Viewer zugelassen ist) kann er in Workspace Gruppe C trotzdem die Rechte als Admin ausführen, obwohl er dort nur als Viewer angedacht war.
Die Rollenvergabe läuft nicht je Workspace sondern wird einmalig zugeteilt und dann gilt die höchste Rolle übergreifend für alle Workspaces. Hier ein Überblick mit Beispielen über die Berechtigungen der 4 Rollen:
Nach der Workspace-Berechtigung folgt die Item-Berechtigung.
Item-Berechtigung
Sie ermöglicht den Zugriff auf Items wie Warehouses, Lakehouses und semantische Modelle, ohne dass ein ganzer Arbeitsbereich berechtigt wurde.
Row-Level/Column-Level-Security
Detaillierte Berechtigungen erfolgen durch Row-Level oder Column-Level Security. Diese ermöglichen Ihnen das Verweigern von Zugriff auf Zeilen- oder Spaltenebene.
OneLake Data Access
Neben diesen drei Sicherheitsebenen gibt es den Data Access über OneLake. Diese Sicherheitsstufe ermöglicht das Erteilen von Zugriff auf verschiedene Lakehouse-Ordner. Damit können Sie gezielt entscheiden, wer was im Lakehouse sehen/bearbeiten kann, ohne ihm den Zugriff zum gesamten Lakehouse zu gewähren.
Neben den integrierten Fabric Sicherheitsmodellen gibt es die Möglichkeit, das Tool Microsoft Purview zu integrieren, um für mehr Datensicherheit zu sorgen.
Die zusätzliche Sicherheitsinstanze: Microsoft Purview
Purview ist die Data Governance Lösung von Microsoft und bietet Features zum Verwalten und Organisieren von Datenverarbeitungs-Prozessen in Unternehmen. Es ist vollständig in die Azure Cloud integriert und kann andere Anwendungen wie Synapse Analytics, Data Factory und Power BI auswerten (es ist auch möglich, Purview on-premise zu verwenden).
Das Tool erkennt zum Beispiel sensible Daten wie Namen und Versicherungsnummern und schützt diese entsprechend. Es hilft mit Data Lineage dabei, die Herkunft, Verarbeitung und Verwendung von Datensätzen zu erkunden und ermöglicht die Organisation und Darstellung von Projektstrukturen durch Metamodel.
Darüber hinaus bietet es:
- Automatisierte Dokumentation der Datenherkunft
- Verwaltung von Berechtigungen und Metadaten
- Integration mit anderen Azure-Diensten wie Power BI und Synapse Analytics
Jedoch besitzt jedes Sicherheitssystem Schwachstellen.
Herausforderungen in der Sicherheit von Fabric
Wie jede Plattform hat auch Fabric potenzielle Schwachstellen. Beispielsweise gewährt die Zuweisung von Mitwirkenden-Rechten an einem Arbeitsbereich automatisch Zugriff auf alle Daten im zugehörigen Lakehouse, was die Umsetzung fein abgestimmter Zugriffskontrollrichtlinien erschweren kann.
Im Fabric-Zugriffskontrollmodell gewährt die scheinbar harmlose Aktion, jemanden zu einem Mitwirkenden an einem Arbeitsbereich zu machen, automatisch Zugriff auf alle Daten im Lakehouse und umgeht alle für diesen Benutzer festgelegten Zugriffskontrollrichtlinien, ohne dass es eine Warnung gibt. Oder anders ausgedrückt: Die einzige Möglichkeit, jemandem die Verwendung von Python oder Spark zu erlauben, besteht darin, ihm Zugriff auf ALLE Daten im Lakehouse zu gewähren.
Medium betitelt das Fabric Sicherheitskonzept deshalb als „Hollow Cheese“: Tolles Konzept aber viele Lücken. Wir denken, Fabric steckt noch teilweise in den Kinderschuhen, sind aber optimistisch, dass auch diese Herausforderungen bald gelöst werden.
Dennoch folgen nun unsere Tipps, um Fabric mit maximaler Sicherheit zu nutzen.
Unsere Best Practices für mehr Sicherheit
Um die Sicherheit in Fabric weiter zu verbessern, empfehlen wir folgende Maßnahmen:
- Prinzip der minimalen Rechtevergabe: Gewähren Sie Benutzern nur die Rechte, die sie für ihre Arbeit benötigen.
- Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA, um den Zugriff auf die Plattform zusätzlich abzusichern.
- Regelmäßige Sicherheitsüberprüfungen: Führen Sie regelmäßig Audits durch, um Sicherheitslücken frühzeitig zu erkennen.
- Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeiter in Sicherheitsrichtlinien und Best Practices, um menschliches Fehlverhalten zu minimieren.
Fazit
Microsoft Fabric bietet eine leistungsstarke und sichere Plattform für moderne Datenanalysen. Mit Funktionen wie Verschlüsselung, rollenbasierter Zugriffskontrolle und dynamischer Datenmaskierung stellt Fabric sicher, dass Daten vor unbefugtem Zugriff geschützt sind. Dennoch erfordert der Schutz sensibler Daten kontinuierliche Aufmerksamkeit und Anpassung, um potenzielle Schwachstellen zu minimieren. Durch die Kombination integrierter Sicherheitsfunktionen mit bewährten Best Practices können Organisationen das volle Potenzial von Microsoft Fabric sicher und effizient nutzen.
Lassen Sie uns sprechen und Ihr Potenzial entdecken.
Ob und wie künstliche Intelligenz Ihnen weiterhelfen kann, können Sie in einem ersten, unverbindlichen Gespräch mit uns herausfinden.
In diesem Gespräch erfahren Sie:
- Wie Ihr Use-Case technisch am besten umgesetzt werden kann
- Wie wir maximal sicher mit Ihren Kundendaten umgehen
- Wie lange wir für die Umsetzung benötigen und wie ein konkreter Projektplan aussehen könnte