Sécuriser sa plateforme de données

Introduction

Les données sont précieuses et toutes les entreprises s’efforcent de les sécuriser et de les gérer. Ainsi, lorsqu’il s’agit de simplifier l’accès aux données provenant de diverses sources grâce à des mécanismes tels que les raccourcis et les miroirs de bases de données, nous devons prendre en compte les mesures de sécurité et de gouvernance correspondantes.

L’accès aux données est une fonction essentielle pour toute organisation qui souhaite exploiter ses données et prendre des décisions éclairées, innover et se différencier. Cependant, cet accès n’est pas sans risques ni sans défis. Les organisations doivent faire face à des exigences croissantes en matière de performance, de disponibilité, de conformité, de sécurité et de qualité des données. Le maintien en condition opérationnelle d’accès aux données consiste à garantir que les utilisateurs autorisés puissent accéder aux données dont ils ont besoin, quand ils en ont besoin, de manière fiable, sécurisée et conforme. Les données sont de plus en plus stratégiques, constituant un avantage concurrentiel et une source d’innovation pour les organisations, ce qui nécessite des...

Software as a Service

Le Cloud nous a permis de faire d’énormes progrès par rapport à l’époque où il fallait sanctifier la salle des machines, commander, attendre et installer le matériel, puis installer le logiciel, avant de commencer à coder la moindre logique métier. Pourtant, notre démarche consiste souvent à installer et gérer des logiciels dans le Cloud (infrastructure en tant que service, IaaS) ou, au mieux, à allouer des ressources pour faire fonctionner nos logiciels (plateforme en tant que service, PaaS).

L’avantage principal du Software as a Service (SaaS) est qu’il permet aux développeurs de se concentrer sur la logique métier plutôt que sur la gestion des ressources. Le SaaS offre une abstraction complète de l’infrastructure et de la plateforme sous-jacente, ce qui réduit les coûts et les délais de développement, de déploiement et de maintenance. Le SaaS permet également aux utilisateurs de bénéficier d’une expérience uniforme et cohérente sur tous les appareils et les réseaux, sans avoir à installer ni mettre à jour le logiciel. Le SaaS assure également une plus grande sécurité et une meilleure conformité car le fournisseur du service a la charge de protéger les données et les applications...

Microsoft Fabric

Les architectures et les plateformes de données évoluent au fil du temps, tout comme les défis en matière de sécurité, de gouvernance et d’accessibilité. Le passage d’une architecture sur site à une architecture Cloud, d’utilisateurs sur site à des d’utilisateurs géographiquement distribués et toujours connectés, de solutions monodépartementales à des architectures de lac de données et de Data Mesh oblige les organisations à repenser complètement leur approche de la sécurité et de la gouvernance.

Microsoft Fabric est :

Authentification

Microsoft Fabric est une plateforme SaaS et comme beaucoup d’autres services Microsoft tels que Microsoft Office, OneDrive, Azure et Dynamics, il utilise Microsoft Entra ID (anciennement Azure Active Directory) comme fournisseur d’identité. Microsoft Entra ID aide les utilisateurs à se connecter à ces services rapidement et facilement à partir de n’importe quel appareil et de n’importe quel réseau. Chaque demande de connexion à Microsoft Fabric est authentifiée par Microsoft Entra ID, ce qui permet aux utilisateurs de se connecter en toute sécurité depuis leur bureau, lorsqu’ils travaillent à domicile ou depuis un site distant. Une fois authentifiés, les utilisateurs reçoivent des jetons d’accès de Microsoft Entra ID. Microsoft Fabric utilise ces jetons pour effectuer des opérations dans le contexte de l’utilisateur.

Microsoft Entra ID permet de mettre en place une sécurisation des identités avec la Confiance Zéro (https://go.fabricbook.fr/ch14-5) dans Microsoft Fabric. Les applications SaaS, le télétravail et la mobilité ont redéfini le périmètre de sécurité. Les employés apportent leurs propres appareils et travaillent à distance. Les données sont accessibles en dehors du réseau de l’entreprise...

Sécurité du réseau

Microsoft Fabric est une solution SaaS opérant sur le cloud de Microsoft. Certains cas d’usage nécessitent l’accès à des données externes à la plateforme comme visualiser un rapport sur des données de votre propre réseau ou hébergées sur un service distinct.

Comme vu précédemment, Microsoft Entra ID est utilisé pour authentifier chaque demande, Microsoft Fabric ne prend pas en charge d’autres méthodes d’authentification telles que les clés de compte ou l’authentification SQL reposant sur des noms d’utilisateur et des mots de passe. Une fois l’authentification réussie, les demandes sont acheminées vers le service backend approprié par le biais de points de terminaison sécurisés. Alors que les transactions et le trafic entre les expériences sont acheminés sur le réseau interne sécurisé de Microsoft, toutes les communications sortantes sont sécurisées par défaut. Le trafic entre les clients et Microsoft Fabric est crypté en utilisant au moins le protocole Transport Layer Security (TLS) 1.2. Cette configuration se distingue de l’approche qui nécessite la mise en place d’une connectivité entre plusieurs services PaaS à travers un réseau privé.

1. Sécurité des réseaux entrants

Le trafic entrant est le trafic provenant d’Internet ou de votre réseau privé et entrant dans Fabric. Ci-dessous quelques fonctionnalités de sécurité permettant d’encadrer le réseau entrant.

Accès conditionnel

La fonctionnalité d’accès conditionnel dans Microsoft Entra ID cité dans la section Authentification afin de renforcer l’authentification avec du multifacteur peut aussi être utilisé pour restreindre l’accès à certaines plages IP, des emplacements ou encore à des appareils gérés. Ce qui peut, entre autres, permettre de limiter l’accès à Fabric depuis vos locaux ou de requérir une connexion VPN.

Power BI et Microsoft Fabric URLs

Plusieurs URL obligatoires et facultatives (en fonction de vos usages) sont nécessaires pour que le service fonctionne correctement :...

Sécurité multicouches

Microsoft Fabric utilise un modèle de sécurité multicouche avec différents contrôles sur différents niveaux et ainsi permettre la définition des autorisations minimales nécessaires. 

Les autorisations peuvent être définies au niveau d’un Workspace pour la collaboration (1), au niveau des Applications Power BI et de leurs audiences pour le partage à grande échelle, au niveau des objets individuels (3) ou encore des rapports (4) ou au niveau d’applications externes (5).

Lockbox pour Microsoft Fabric

La plupart des opérations effectuées par les équipes de support et les sous-traitants de Microsoft ne nécessitent pas l’accès aux données client. Dans les rares cas où un tel accès est requis, Customer Lockbox pour Microsoft Azure fournit une interface dans laquelle les clients peuvent vérifier et approuver/refuser les demandes d’accès aux données. Microsoft Fabric, au même titre que d’autres services Microsoft permet aux organisations d’activer ou non Customer Lockbox. Plus d’information à l’adresse suivante : https://go.fabricbook.fr/ch14-21.

Sécurité par expériences

La plateforme unifiée Microsoft Fabric intègre de multiples expériences offrant une gamme complète d’outils analytiques conçus pour fonctionner ensemble en toute transparence. La sécurisation par charge de travail est un principe qui limite l’accès à la seule charge de travail Microsoft Fabric auquel l’utilisateur a besoin pour travailler. Cette section traite des expériences individuelles et de la manière dont elles sont sécurisées. 

Partage et gestion des autorisations

La fonction de partage de Microsoft Fabric offre la possibilité de collaborer avec des utilisateurs qui ne possèdent pas de rôle dans l’espace de travail ou d’octroyer des permissions additionnelles sur des objets spécifiques aux utilisateurs ayant déjà un rôle défini dans cet espace.

Les partages donnent au moins l’accès en lecture. Toutefois, vous pouvez également spécifier des autorisations supplémentaires en fonction du type d’objet :

Dans certains cas, le partage n’est pas disponible et c’est depuis l’interface de gestion des autorisations que l’octroi de permissions peut être réalisé :

Les objets peuvent aussi être partagés avec des personnes extérieures à votre organisation, mais uniquement si vous choisissez d’autoriser l’accès des utilisateurs invités. Ces utilisateurs sont appelés utilisateurs invités ou utilisateurs externes. L’identité d’un invité réside dans le Tenant Entra ID de son organisation et il est invité en tant qu’utilisateur invité dans le Tenant Entra ID de votre organisation. Après avoir accepté l’invitation, l’utilisateur invité apparaîtra dans le Tenant afin qu’il puisse être géré...

Supervision

Pour réduire les risques d’accès et d’utilisation non autorisés de vos données dans Microsoft Fabric, les administrateurs et les équipes de conformité peuvent suivre et comprendre ce qui se passe dans le Tenant de différentes façons. Regardons les différentes solutions de supervisions.

1. Statut du service

Pour vérifier le statut du service, consultez le document concernant support et statut Microsoft Fabric : https://go.fabricbook.fr/ch14-44.

Vous pouvez recevoir des notifications d’alerte par e-mail pour vous informer en cas de panne, d’interruption ou de dégradation du service. Pour configurer des alertes par e-mail, consultez les paramètres d’administration de l’aide et du support : https://go.fabricbook.fr/ch14-45.