A adoção do OneLake como data lake unificado traz desafios críticos para engenheiros de dados e arquitetos de soluções, especialmente quando o requisito é restringir o acesso a fontes de dados sem depender exclusivamente de perímetros de rede (como IP allowlists) ou implementações complexas de Private Link em todos os cenários.
A introdução das resource instance rules para o OneLake, agora em preview, sinaliza uma mudança importante na abordagem de segurança da plataforma Microsoft Fabric. Em vez de tratar a conectividade baseada apenas na localização de rede, a funcionalidade introduz um modelo de controle baseado em identidade de recursos. Para times de infraestrutura e SecOps que operam no Brasil, isso significa uma alternativa para mitigar riscos de exposição pública enquanto se mantém a interoperabilidade entre serviços Azure.
O que muda na prática
As resource instance rules funcionam como uma camada adicional que valida o tráfego de entrada antes mesmo da avaliação das permissões de dados (ACLs). Ao definir uma lista de confiança através de ARM IDs (Azure Resource Manager IDs), o workspace admin determina que apenas instâncias específicas de recursos – como um Data Factory ou uma Function App – consigam interagir com o OneLake através de endpoints públicos.
Por que essa mudança é estratégica?
Historicamente, gerenciar acesso granular em data lakes exigia um trade-off entre segurança e complexidade operacional. Muitos serviços gerenciados possuem endereços IP dinâmicos ou difícil previsibilidade de tráfego, o que torna a manutenção de firewalls de IP um pesadelo de gestão. Com esta atualização, é possível:
- Reduzir a dependência de Private Link: Embora o Private Link permaneça o padrão-ouro para segurança em redes, ele não é sempre viável ou necessário para todas as cargas de trabalho. O uso de identidades de recurso oferece um nível de segurança intermediário e robusto.
- Segurança de camada superior: A regra de resource instance atua como um filtro, permitindo bloquear o acesso público de forma geral, enquanto se abre uma exceção controlada apenas para os serviços necessários.
- Flexibilidade arquitetural: O recurso não substitui os mecanismos de segurança anteriores; ele os complementa. É possível orquestrar uma estratégia de defesa em profundidade, combinando Private Link, firewalls de IP e as novas resource instance rules.
Considerações para o seu time
Para implementar, o Tenant Admin deve habilitar a configuração de firewall de IP e instâncias de recursos confiáveis no portal de admin do Fabric. Como o recurso valida a identidade do cliente, a complexidade de manutenção é reduzida, pois não há necessidade de atualizar listas de CIDR ou gerenciar rotas complexas caso a origem do tráfego interno do Azure mude.
Recomendamos que os times de engenharia avaliem se o uso de resource instance rules atende aos requisitos de compliance da sua organização. Para ambientes que lidam com dados sensíveis, a combinação do modelo baseado em identidade com controles de rede continua sendo a recomendação de melhores práticas para evitar fugas de dados e acessos não autorizados.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
