Security in Microsoft Fabric Landing Zones

Überblick

Die Sicherheits-Design-Area für Microsoft Fabric bildet das Fundament für die Absicherung von Fabric-Workloads und -Daten. Sie richtet sich an Security-Architekten, Plattformverantwortliche und das Cloud Center of Excellence (CCoE), die gemeinsam die Sicherheitsanforderungen für Domains, Workspaces, Items und OneLake-Daten im Fabric-Ökosystem definieren und umsetzen.

Microsoft Fabric basiert auf einem Zero-Trust-Modell und nutzt Microsoft Entra ID als zentrale Authentifizierungs- und Autorisierungslösung. Ergänzt wird dies durch native Sicherheitsfunktionen auf Item-, Workspace- und OneLake-Ebene sowie durch Microsoft Defender for Cloud.

Scope und Ziele

Ziel dieser Design-Area ist es, ein einheitliches Sicherheitskonzept für alle Fabric-Komponenten zu schaffen. Der Schwerpunkt liegt auf den folgenden Aspekten:

• Zugriffskontrolle auf Workspaces, Items und OneLake
• Rollenkonzepte mit Fabric-spezifischen Rollen
• Integration von Microsoft Entra Conditional Access und PIM
• Überwachung und Alarmierung mit Microsoft Defender for Cloud
• Anwendung von Data Access Roles und OneLake Security Roles (Preview)
• Zero-Trust-Ansätze in der Netzwerk- und Datenarchitektur

Nicht im Fokus sind in dieser Phase:

• Betrieb eines SOC oder SIEM-Systems (z.B. Microsoft Sentinel)
• Application Security oder DevSecOps
• Schutz nicht-Fabric-nativer Ressourcen

Sicherheit auf Workspace- und Item-Ebene

Fabric verwendet ein hierarchisches Sicherheitsmodell:

• Workspaces: Zugriff über Admin, Member, Contributor und Viewer Rollen
• Items (z.B. Lakehouse, Warehouse, KQL DB): zusätzliche Steuerung durch Item-Sharing oder Data Access Roles
• OneLake-Folder: granular steuerbar über OneLake Data Access Roles oder OneLake Security Roles (Preview)

Die Steuerung erfolgt zentral über Microsoft Entra ID, unterstützt durch Gruppenmitgliedschaften. Zusätzlich ermöglichen Data Access Roles feingranulare Zugriffssteuerung auf Dateiebene (Lakehouse) oder Spalten- und Zeilenebene (SQL Engine).

Überwachung und Sicherheitsoperationen

• Microsoft Defender for Cloud kann Fabric-Ressourcen überwachen und Sicherheitswarnungen generieren.
• Audit Logs werden für OneLake, Workspace-Zugriffe und Item-Operationen bereitgestellt.
• Datenverschlüsselung ist standardmäßig aktiviert (FIPS 140-2), kundenspezifische Schlüssel sind derzeit nicht verfügbar.
• Privileged Identity Management (PIM) kann verwendet werden, um Zugriff auf Fabric Admin-Rollen zeitlich zu beschränken und revisionssicher zu protokollieren.

Zero Trust in Fabric

Fabric unterstützt ein Zero-Trust-Modell auf allen Ebenen:

• Identitäten: Authentifizierung über Entra ID, MFA, Conditional Access
• Netzwerk: Datenzugriff kann über Private Links und IP-Firewall kontrolliert werden
• Datenzugriff: Zugriff nur via zugelassene Tools und Rollen, keine anonyme Freigabe
• OneLake Security (Preview) erlaubt rollenbasierte Sicherheit auf Tabellen-, Zeilen- und Spaltenebene über alle Engines hinweg

Empfehlungen

• Verwende Microsoft Entra Gruppen für die Zuweisung von Workspace- und Item-Rollen
• Aktiviere PIM für Admin-Rollen in produktiven Workspaces
• Nutze OneLake Security (Preview) für produktive Lakehouses mit sensiblen Daten
• Exportiere Audit-Logs regelmäßig zur langfristigen Archivierung
• Verwende Azure Policies, um Richtlinien für Fabric-Workspaces durchzusetzen (z.B. keine anonymen Links)

Visualisierung

Weiterführende Ressourcen

• OneLake security overview
• Get started with data access roles
• Privileged Identity Management (PIM)
• Microsoft Defender for Cloud