Sicherheit in Microsoft Fabric: Alles, was Sie wissen müssen

Das Sicherheitskonzept von Microsoft Fabric

Dieser Blogbeitrag gibt Ihnen einen Überblick über die Sicherheitsmerkmale von Microsoft Fabric und zeigt auf, wie Sie die Plattform optimal absichern können.

Mit der fortschreitenden Digitalisierung wird der Schutz sensibler Daten immer wichtiger. Microsoft Fabric, eine moderne Plattform für Datenanalyse und -verwaltung, bietet eine Vielzahl integrierter Sicherheitsfunktionen, die Organisationen helfen, ihre Daten zu schützen und Compliance-Standards einzuhalten. 

Die wichtigsten Sicherheitsgrundsätze auf einen Blick:

  • Entra ID-gestützte Zero-Trust-Authentifizierung: Kontinuierliche Multi-Faktor-Identitätsprüfung mit adaptiven Zugriffsrichtlinien
  • Umfassende Datensicherheit: Automatische Verschlüsselung bei der Übertragung und im Ruhezustand, Einhaltung globaler Sicherheitsstandards
  • Granulare Zugriffskontrollen: Sicherheitsmanagement auf Arbeitsbereichs- und Computerebene mit Funktionen zur Vermeidung von Datenverlusten
  • Flexible Netzwerkoptionen: Unterstützt sowohl Zero-Trust- als auch private Netzwerkansätze mit Datenresidenz in mehreren Regionen
  • Weiterentwickeltes Sicherheitsmodell: Kontinuierliche Verbesserungen in Richtung universeller Sicherheit für alle Compute Engines und tiefe Microsoft Purview-Integration

Welche Sicherheitsfunktionen sind in Fabric integriert?

Fabric vermarktet das so genannte „Zero-Trust“ Sicherheitsmodell, welches auf Entra-ID basiert. Das Modell prüft jede Zugriffsanfrage individuell und bietet eine kontinuierliche Verifizierung. Sehen wir uns die einzelnen Punkte des Modells genauer an:

Authentifizierung und Autorisierung

Die Plattform verwendet Microsoft Entra ID (ehemals Azure Active Directory) für die zentrale Verwaltung von Benutzern, Rollen und Berechtigungen. Mit einer rollenbasierter Zugriffskontrolle (RBAC) können Administratoren genau festlegen, wer auf welche Daten und Funktionen zugreifen darf. Zudem können benutzerdefinierte Rollen für spezifische Anforderungen erstellt werden.

Datenresidenz und -verschlüsselung

Fabric ermöglicht es, die Region auszuwählen, in der Daten gespeichert und verarbeitet werden, um Compliance- und Leistungsanforderungen zu erfüllen. Für zusätzliche Sicherheit verschlüsselt die Plattform Daten sowohl im Ruhezustand als auch bei der Übertragung mit branchenüblichen Protokollen wie TLS. Unternehmen können außerdem eigene Verschlüsselungsschlüssel verwenden, um die Kontrolle über ihre Daten zu behalten.

Datenmaskierung

Um sensible Daten vor unbefugtem Zugriff zu schützen, bietet Microsoft Fabric dynamische Datenmaskierung. Diese Funktion verbirgt die tatsächlichen Werte sensibler Daten und zeigt stattdessen Platzhalterdaten an – ideal für Entwicklungs- oder Testumgebungen.

Wir unterstützen Sie bei dem Aufbau einer kugelsicheren Fabric Umgebung. Kontaktieren Sie uns!

Auditing und Überwachung

Fabric verfügt über robuste Überwachungs- und Auditing-Funktionen, wie etwa Azure Monitor und das Azure Security Center, um verdächtige Aktivitäten zu erkennen und Bedrohungen frühzeitig zu bekämpfen. Diese Tools helfen, Transparenz über die Datennutzung und Zugriffsversuche zu schaffen.

Sicherheitsrollen und Berechtigungen

Eine zentrale Komponente der Sicherheitsarchitektur von Fabric ist die Verwaltung von Berechtigungen:

Die Sicherheitsebenen auf Microsoft Fabric

Arbeitsbereichsberechtigung

Die Workspace Permissions stellen sicher, dass nur berechtigte Personen auf einen Arbeitsbereich zugriff erhalten. Den Zugriff erteilen Sie über vier verschiedene Rollen: Admin, Member, Contributor und Viewer.

Die Berechtigungen für den gesamten Arbeitsbereich sind über diese Rollen geregelt. Dabei können Sie Rollen entweder Einzelpersonen oder ganzen Gruppen zuweisen.

Problematisch ist hier folgendes: Wenn Sie einer Gruppe das Admin-Recht für einen Arbeitsbereich zuweisen, dann verfügt jedes Mitglied dieser Gruppe automatisch das Admin-Recht. Ist ein Mitglied von Workspace A (der Admin Gruppe) auch Mitglied in Gruppe C (einer Gruppe die nur als Viewer zugelassen ist) kann er in Workspace Gruppe C trotzdem die Rechte als Admin ausführen, obwohl er dort nur als Viewer angedacht war.

Die Rollenvergabe läuft nicht je Workspace sondern wird einmalig zugeteilt und dann gilt die höchste Rolle übergreifend für alle Workspaces. Hier ein Überblick mit Beispielen über die Berechtigungen der 4 Rollen:

Die unterschiedlichen Sicherheitsberechtigungen abhängig von der Rolle

Nach der Workspace-Berechtigung folgt die Item-Berechtigung.

Item-Berechtigung

Sie ermöglicht den Zugriff auf Items wie Warehouses, Lakehouses und semantische Modelle, ohne dass ein ganzer Arbeitsbereich berechtigt wurde.

Row-Level/Column-Level-Security

Detaillierte Berechtigungen erfolgen durch Row-Level oder Column-Level Security. Diese ermöglichen Ihnen das Verweigern von Zugriff auf Zeilen- oder Spaltenebene.

OneLake Data Access

Neben diesen drei Sicherheitsebenen gibt es den Data Access über OneLake. Diese Sicherheitsstufe ermöglicht das Erteilen von Zugriff auf verschiedene Lakehouse-Ordner. Damit können Sie gezielt entscheiden, wer was im Lakehouse sehen/bearbeiten kann, ohne ihm den Zugriff zum gesamten Lakehouse zu gewähren.

Neben den integrierten Fabric Sicherheitsmodellen gibt es die Möglichkeit, das Tool Microsoft Purview zu integrieren, um für mehr Datensicherheit zu sorgen.

Die zusätzliche Sicherheitsinstanze: Microsoft Purview

Purview ist die Data Governance Lösung von Microsoft und bietet Features zum Verwalten und Organisieren von Datenverarbeitungs-Prozessen in Unternehmen. Es ist vollständig in die Azure Cloud integriert und kann andere Anwendungen wie Synapse Analytics, Data Factory und Power BI auswerten (es ist auch möglich, Purview on-premise zu verwenden). 

Das Tool erkennt zum Beispiel sensible Daten wie Namen und Versicherungsnummern und schützt diese entsprechend. Es hilft mit Data Lineage dabei, die Herkunft, Verarbeitung und Verwendung von Datensätzen zu erkunden und ermöglicht die Organisation und Darstellung von Projektstrukturen durch Metamodel.

Darüber hinaus bietet es:

  • Automatisierte Dokumentation der Datenherkunft
  • Verwaltung von Berechtigungen und Metadaten
  • Integration mit anderen Azure-Diensten wie Power BI und Synapse Analytics

Jedoch besitzt jedes Sicherheitssystem Schwachstellen.

Herausforderungen in der Sicherheit von Fabric

Wie jede Plattform hat auch Fabric potenzielle Schwachstellen. Beispielsweise gewährt die Zuweisung von Mitwirkenden-Rechten an einem Arbeitsbereich automatisch Zugriff auf alle Daten im zugehörigen Lakehouse, was die Umsetzung fein abgestimmter Zugriffskontrollrichtlinien erschweren kann

Im Fabric-Zugriffskontrollmodell gewährt die scheinbar harmlose Aktion, jemanden zu einem Mitwirkenden an einem Arbeitsbereich zu machen, automatisch Zugriff auf alle Daten im Lakehouse und umgeht alle für diesen Benutzer festgelegten Zugriffskontrollrichtlinien, ohne dass es eine Warnung gibt. Oder anders ausgedrückt: Die einzige Möglichkeit, jemandem die Verwendung von Python oder Spark zu erlauben, besteht darin, ihm Zugriff auf ALLE Daten im Lakehouse zu gewähren.

Medium betitelt das Fabric Sicherheitskonzept deshalb als „Hollow Cheese“: Tolles Konzept aber viele Lücken. Wir denken, Fabric steckt noch teilweise in den Kinderschuhen, sind aber optimistisch, dass auch diese Herausforderungen bald gelöst werden.

Dennoch folgen nun unsere Tipps, um Fabric mit maximaler Sicherheit zu nutzen.

Unsere Best Practices für mehr Sicherheit

Um die Sicherheit in Fabric weiter zu verbessern, empfehlen wir folgende Maßnahmen:

  1. Prinzip der minimalen Rechtevergabe: Gewähren Sie Benutzern nur die Rechte, die sie für ihre Arbeit benötigen.
  2. Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA, um den Zugriff auf die Plattform zusätzlich abzusichern.
  3. Regelmäßige Sicherheitsüberprüfungen: Führen Sie regelmäßig Audits durch, um Sicherheitslücken frühzeitig zu erkennen.
  4. Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeiter in Sicherheitsrichtlinien und Best Practices, um menschliches Fehlverhalten zu minimieren.

Fazit

Microsoft Fabric bietet eine leistungsstarke und sichere Plattform für moderne Datenanalysen. Mit Funktionen wie Verschlüsselung, rollenbasierter Zugriffskontrolle und dynamischer Datenmaskierung stellt Fabric sicher, dass Daten vor unbefugtem Zugriff geschützt sind. Dennoch erfordert der Schutz sensibler Daten kontinuierliche Aufmerksamkeit und Anpassung, um potenzielle Schwachstellen zu minimieren. Durch die Kombination integrierter Sicherheitsfunktionen mit bewährten Best Practices können Organisationen das volle Potenzial von Microsoft Fabric sicher und effizient nutzen.

Profilbild von Vinzent Wuttke Geschäftsführer Datasolut GmbH
Vinzent Wuttke
Geschäftsführer

Lassen Sie uns sprechen und Ihr Potenzial entdecken.

Ob und wie künstliche Intelligenz Ihnen weiterhelfen kann, können Sie in einem ersten, unverbindlichen Gespräch mit uns herausfinden.

In diesem Gespräch erfahren Sie:

  • Wie Ihr Use-Case technisch am besten umgesetzt werden kann
  • Wie wir maximal sicher mit Ihren Kundendaten umgehen
  • Wie lange wir für die Umsetzung benötigen und wie ein konkreter Projektplan aussehen könnte
Jetzt Erstgespräch vereinbaren

Weiterlesen

Tipps zum Kostenmanagement auf Microsoft Fabric (Beitragsbild)
Microsoft Vor 1 Monat

Microsoft Fabric Kostenmanagement: 7 Praxistipps für Unternehmen

So geht effektives Kostenmanagement auf Fabric! Fabric bietet verschiedene Kostenmodelle und Abrechnungsmethoden an, was das effiziente Managen der Kosten erschwert. Wir haben Tipps aus unserem Beratungsalltag gesammelt und unsere Erfahrungen […]
Microsoft Fabrics Kostenmodell vorgestellt (Beitragsbild)
Microsoft Vor 2 Monaten

Alle Details zum Kostenmodell von Microsoft Fabric

Wir schauen uns in diesem Beitrag das Kostenmodell von Microsoft Fabric an. Fabric bietet eine flexible und leistungsstarke Plattform für Datenanalyse und -verarbeitung. Doch die Vielzahl an Lizenzierungsoptionen und Kostenstrukturen […]
Data PlatformDatabricksMicrosoft Vor 5 Monaten

Microsoft Fabric vs. Databricks: Der Praxis-Guide

Databricks vs. Microsoft Fabric, wer gewinnt die Auszeichnung als beste Datenplattform? So einfach zu beantworten ist das leider nicht. Die beiden Datenplattformen Databricks und MS Fabric unterscheiden sich in verschiedenen […]
Die Architektur von Microsoft Azure Synapse
Data PlatformMicrosoft Vor 7 Monaten

Was ist Azure Synapse? Ihr 1×1 Guide

Microsoft Azure Synapse Analytics ist eine Datenplattform, die Data Warehousing und Big Data-Analysen in einer integrierten Umgebung vereint. Azure Synapse ermöglicht es Unternehmen, Daten aus verschiedenen Quellen zu integrieren, zu […]
Data PlatformMicrosoft Vor 8 Monaten

Was ist Microsoft Fabric? Eine Einschätzung aus der Praxis

Microsoft Fabric wurde erstmals im Mai 2023 auf der Microsoft Build Konferenz vorgestellt und ist eine umfassende Daten- und Analyseplattform. Die Plattform ermöglicht das einheitliche Speichern, Verwalten und Arbeiten an […]
Newsletter und Updates

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Erstgespräch vereinbaren