Security in Microsoft Fabric

Security in Fabric

Security in Microsoft Fabric

Microsoft Fabric wird immer beliebter. Dies liegt unter anderem daran, dass Microsoft viel Zeit und Energie in die Fehlerbehebung und die ständige Weiterentwicklung der Plattform investiert. Ein Punkt, der dabei immer wieder auftaucht, ist die Sicherheit von Microsoft Fabric. Viele fragen sich, wie die Datensicherheit geregelt ist und an welchen Stellschrauben man drehen kann, um Daten vor unbefugten Augen zu schützen. Hier gibt es nun einen Überblick über die Sicherheit in Fabric und wie man diese optimieren kann.

Übersicht Security in Fabric

Dieses Bild wird als Standardübersicht zur Sicherheit verwendet. Es sind drei verschiedene Sicherheitsebenen zu sehen. Die Workspace-Berechtigung, die Item-Berechtigung und die detaillierten Berechtigungen auf Lakehouses, Warehouses und semantischen Modellen. Zusätzlich zu den drei Schichten (und nicht auf der Übersicht eingezeichnet) gibt es noch das Tool Purview, das ebenfalls integriert werden kann.

Workspace Permissions

Die einfachste Möglichkeit, den Zugriff von Personen auf Daten zu verhindern, ist die Arbeitsbereichsberechtigung. Es ist möglich, Personen von einem ganzen Arbeitsbereich auszuschließen/einzuschließen und so die Daten zu sichern.

Über die drei Punkte und den Menüpunkt „Manage Access“ habe ich die Möglichkeit, Kollegen Zugriff auf meinen Arbeitsbereich zu geben. Momentan kann ich vier verschiedene Rollen vergeben. Admin, Member, Contributor und Viewer.

Security in Microsoft Fabric: Item Permissions 2

Je nachdem, welche Rolle ich meinen Kollegen zuweise, haben sie dann Berechtigungen für den gesamten Arbeitsbereich. Und das ist das Entscheidende. Das gilt für den gesamten Arbeitsbereich. Die Workspace-Berechtigung ist also die einfachste Art der Berechtigung in Microsoft Fabric.

Item Permissions

Die nächste Berechtigungsebene ist die Item Permission. Diese gilt bisher nur für Lakehouses, Warehouses und semantische Modelle. Hier habe ich die Möglichkeit, Personen direkt auf mein Fabric Item zu berechtigen. Ich muss der Person vorher keinen Zugriff auf den Arbeitsbereich gewährt haben. Mit einem Klick auf die drei Punkte bei z.B. einem SQL Analytics Endpoint öffnet sich dieses Fenster.

Security in Microsoft Fabric: Item Permissions 1

Über den Menüpunkt Manage Permissions gelange ich nun in ein Fenster, in dem ich die Möglichkeit habe, Berechtigungen zu vergeben.

Security in Microsoft Fabric: Item Permissions 2

Der Button Add user öffnet ein neues Fenster, in dem nun die Berechtigungen vergeben werden können:

Security in Microsoft Fabric: Item Permissions 3

Hier hat man schon mehr Möglichkeiten, da man wählen kann, ob z.B. auch semantische Modelle verwendet/aufgebaut werden dürfen.

Detailliertere Berechtigungen

In diesem Abschnitt gibt es einiges zu berichten. Es gibt die Punkte Row-Level Security und Column-Level Security, die es mir ermöglichen, bestimmten Personen den Zugriff auf Daten in einer Datenbank zu verweigern (dies bezieht sich natürlich auf Zeilen und/oder Spalten). Das Prinzip der Row-Level und Column-Level Security ist schon älter und wird hier nicht weiter diskutiert.
Zusätzlich gibt es den OneLake Data Access. Mit dieser Option habe ich die Möglichkeit, den Zugriff auf verschiedene Ordner in meinem Lakehouse zu verteilen. So kann ich z.B. einem Kollegen den Zugriff auf mehrere csv-Dateien oder Tabellen gleichzeitig geben, ohne ihm den Vollzugriff auf alle Daten in meinem Lakehouse geben zu müssen. In der Praxis sieht das so aus:

Security in Microsoft Fabric: Detaillierte Permissions 1

Oben unter dem Punkt Manage OneLake Data Access öffnet sich folgendes Fenster.

Security in Microsoft Fabric: Detaillierte Permissions 2

Hier habe ich die Möglichkeit, eine neue Rolle einzurichten.

Security in Microsoft Fabric: Detaillierte Permissions 3

Der Leser „ReaderSecurity“, hätte jetzt bspw. nur die Möglichkeit, alle Dateien in meinem Lakehouse zu lesen. Auf die Tabellen könnte er nicht zugreifen.

Wenn ich eine Data Mesh Architektur verwende, habe ich natürlich auch die Möglichkeit, die Berechtigungen auf die verschiedenen Domänen zu verwalten. Dieses Thema werde ich in einem weiteren Blogbeitrag behandeln.

Security in Fabric: Microsoft Purview

Über das Tool Microsoft Purview (ehemals Azure Purview) haben wir bereits in der Vergangenheit geschrieben. Hier soll es nur um die Integration von Purview in Fabric gehen.

Purview muss zunächst in Microsoft Fabric konfiguriert werden. Das dauert eine Weile, bis alles erfolgreich im Hintergrund läuft. Danach haben wir die Möglichkeit, sogenannte Sensitivity Labels zu verteilen. Dies kann für jedes Item gemacht werden. Wenn wir also in die Einstellungen meines Lakehouses gehen, kommen wir zu folgendem Fenster:

Security in Microsoft Fabric: Microsoft Purview 1
Security in Microsoft Fabric: Microsoft Purview 2

Unter dem Punkt Sensitivity Label kann ich nun ein Label verteilen, das ich vorher in Purview erstellt habe und das mit bestimmten Berechtigungen verbunden ist. Mein Label „All“ hat von mir die Farbe Grün erhalten, da es keine Einschränkungen für Personen bietet. Das Label hat noch weitere Funktionen, die in Purview eingestellt werden können. Allerdings gehe ich heute nicht so ausführlich auf Purview ein.
Wenn ich jetzt mein Lakehouse öffne, sehe ich das Label ganz oben.

Security in Microsoft Fabric: Microsoft Purview 3

Mit Microsoft Purview kommt also ein externes Microsoft-Tool in Fabric zum Einsatz, um noch mehr Sicherheit zu gewährleisten.

Kontakt

Wie man sieht, ist das Thema Sicherheit in Microsoft Fabric sehr vielseitig. Wir haben die Möglichkeit, unsere Daten über verschiedene Schichten und sogar externe Microsoft Tools zu schützen. So haben wir die volle Entscheidungsgewalt darüber, wer meine Daten nutzen darf und wer nicht.

Haben wir Ihr Interesse an Microsoft Fabric geweckt oder haben Sie weitere Fragen zum Thema Security in Fabric? Zögern Sie nicht, uns zu kontaktieren. Unsere Expertinnen und Experten unterstützen Sie gerne bei Ihren Projekten.

 

Vorheriger Beitrag
Azure KI Studio
Nächster Beitrag
ESG-Reporting Automatisierung mit Microsoft Fabric

Weitere Beiträge

Cloud Architecture
AzureBlogCloud

Cloud Architektur

Was ist Cloud Architektur? Einfach ausgedrückt ist die Cloud-Architektur die Art und Weise, wie eine Reihe miteinander verbundener Komponenten, von…