A gestão de perímetro em ambientes SaaS, como o Microsoft Fabric, é um desafio constante para times de segurança e engenharia de dados. Tradicionalmente, o foco estava no controle de acesso via Microsoft Entra ID, mas em cenários críticos, a identidade sozinha não basta: é necessário restringir a origem física dos acessos. Com a disponibilidade geral (GA) do IP firewall em nível de workspace, a Microsoft entrega uma peça que estava faltando na estratégia de defesa em profundidade da plataforma.
O que muda na prática?
Anteriormente, o isolamento completo de rede no Fabric dependia quase exclusivamente de Private Links (seja em nível de tenant ou workspace). Embora seja a recomendação padrão para ambientes enterprise, nem toda infraestrutura consegue migrar para uma topologia de rede privada com facilidade. As novas regras de firewall por IP funcionam como um filtro de borda: permitem que administradores de workspace criem allowlists de IPs públicos confiáveis, bloqueando proativamente qualquer tentativa de acesso que venha de fora dessa lista.
Segurança estratégica e governança
Este recurso não substitui os controles de rede avançados, mas oferece um nível de flexibilidade que empresas brasileiras, especialmente as ligadas a setores regulamentados (Financeiro, Varejo e Saúde), precisam para escalar suas operações de dados. Ao permitir a configuração via tenant-level setting, a TI central consegue delegar a gestão da allowlist para os administradores de workspace, sem perder o controle total sobre a governança de quem pode ligar ou desligar essa camada de proteção.
Pontos de atenção para a engenharia
- Opt-in explícito: A configuração não possui impacto automático. O comportamento padrão é permissivo até que o administrador do tenant habilite o recurso e defina as políticas de acesso.
- Complementariedade: É fundamental encarar esta feature como parte de um stack de segurança maior. Ela convive com role-based access controls e Conditional Access do Microsoft Entra. Se um usuário estiver fora do range de IP permitido, a negação ocorre antes mesmo de qualquer tentativa de troca de token ser validada contra o IAM.
- Limitações: Antes de implementar, é vital consultar a documentação técnica sobre o suporte a artefatos específicos e as restrições operacionais, garantindo que o seu pipeline de ETL ou dashboards de Power BI não fiquem órfãos quando publicados em um workspace protegido.
Para times de plataforma e DevOps, a adoção de políticas granulares de rede como esta reduz consideravelmente a superfície de ataque, isolando dados sensíveis de acessos não autorizados via internet pública, mesmo fora de redes corporativas tradicionais (VPN/SD-WAN).
Artigo originalmente publicado por Advaitha Karthikeyan em Azure Updates - Latest from Azure Charts.
