Compartir a través de

Claves administradas por el cliente para áreas de trabajo de Fabric

Microsoft Fabric cifra todos los datos en reposo mediante claves administradas de Microsoft. Con las claves administradas por el cliente para las áreas de trabajo de Fabric, puede usar las claves de Azure Key Vault para agregar otra capa de protección a los datos de las áreas de trabajo de Microsoft Fabric, incluidos todos los datos de OneLake. Una clave administrada por el cliente proporciona una mayor flexibilidad, lo que le permite administrar su rotación, controlar el acceso y la auditoría de uso. También ayuda a las organizaciones a satisfacer las necesidades de gobernanza de datos y a cumplir con los estándares de cifrado y protección de datos.

Funcionamiento de las claves administradas por el cliente

Todos los almacenes de datos de Fabric se cifran en reposo con claves administradas por Microsoft. Las claves administradas por el cliente usan el cifrado con sobre, donde una Clave de Cifrado de Claves (KEK) cifra una Clave de Cifrado de Datos (DEK). Al usar claves administradas por el cliente, la DEK administrada por Microsoft cifra los datos y, a continuación, la DEK se cifra mediante la KEK administrada por el cliente. El uso de una KEK que nunca deja Key Vault permite cifrar y controlar las claves de cifrado de datos. Esto garantiza que todo el contenido del cliente de un área de trabajo con CMK habilitado se cifre mediante las claves administradas por el cliente.

Habilitación del cifrado con claves administradas por el cliente para el área de trabajo

Los administradores del área de trabajo pueden configurar el cifrado mediante CMK en el nivel de área de trabajo. Una vez que el administrador del área de trabajo habilita la configuración en el portal, todo el contenido del cliente almacenado en esa área de trabajo se cifra mediante la CMK especificada. CMK se integra con las directivas de acceso de AKV y el control de acceso basado en rol (RBAC), lo que le permite definir permisos pormenorizados en función del modelo de seguridad de la organización. Si decide deshabilitar el cifrado de CMK más adelante, el área de trabajo revertirá al uso de claves administradas por Microsoft. También puede revocar la clave en cualquier momento y el acceso a los datos cifrados se bloqueará en un plazo de una hora de revocación. Con la granularidad y el control a nivel de área de trabajo, elevas la seguridad de tus datos en Fabric.

Elementos admitidos

Actualmente, las claves administradas por el cliente son compatibles con los siguientes elementos de Fabric:

  • Lakehouse
  • Almacén
  • Notebook
  • Medio ambiente
  • Definición de trabajo de Spark
  • API para GraphQL
  • Modelo de ML
  • Experimento
  • Pipeline
  • Flujo de datos
  • Soluciones del sector
  • SQL Database (versión preliminar)

Esta característica no se puede habilitar para un área de trabajo que contenga elementos no admitidos. Cuando el cifrado de clave administrada por el cliente para un área de trabajo de Fabric está habilitado, solo se pueden crear elementos admitidos en esa área de trabajo. Para usar elementos no admitidos, créelos en otra área de trabajo que no tenga habilitada esta característica.

Configuración del cifrado con claves administradas por el cliente para el área de trabajo

La clave administrada por el cliente para las áreas de trabajo de Fabric requiere una configuración inicial. Esta configuración incluye habilitar la opción de cifrado para inquilinos de Fabric, configurar Azure Key Vault y conceder acceso de la aplicación CMK de Fabric Platform a Azure Key Vault. Una vez completada la instalación, un usuario con un rol de área de trabajode administrador puede habilitar la característica en el área de trabajo.

Paso 1: Habilitar la configuración del tenant de Fabric

Un administrador de Fabric debe asegurarse de que la opción Aplicar claves administradas por el cliente está habilitada. Para más información, consulte el artículo Configuración del cifrado del inquilino.

Paso 2: Crear un principal de servicio para la aplicación CMK de la plataforma Fabric

Fabric usa la aplicación Fabric Platform CMK para acceder a Azure Key Vault. Para que la aplicación funcione, se debe crear un principal del servicio para el arrendatario. Este proceso lo realiza un usuario que tiene privilegios de identificador de Microsoft Entra, como un administrador de aplicaciones en la nube.

Siga las instrucciones de Creación de una aplicación empresarial a partir de una aplicación multiinquilino en Microsoft Entra ID para crear una entidad de servicio para una aplicación denominada Fabric Platform CMK con el identificador de aplicación 61d6811f-7544-4e75-a1e6-1c59c0383311 en el inquilino de Microsoft Entra ID.

Paso 3: Configuración de Azure Key Vault

Debe configurar key Vault para que Fabric pueda acceder a él. Este paso lo realiza un usuario que tiene privilegios de Key Vault, como un administrador de Key Vault. Para más información, consulte Roles de seguridad de Azure.

  1. Abra Azure Portal y vaya a Key Vault. Si no tiene Key Vault, siga las instrucciones de Creación de un almacén de claves mediante Azure Portal.

  2. En Key Vault, configure las opciones siguientes:

  3. En la bóveda de claves, abra Control de acceso (IAM).

  4. En la lista desplegable Agregar , seleccione Agregar asignación de roles.

  5. Seleccione la pestaña Miembros y, a continuación, haga clic en Seleccionar miembros.

  6. En el panel Seleccionar miembros, busque Fabric Platform CMK.

  7. Seleccione la aplicación Fabric Platform CMK y, a continuación, Seleccione.

  8. Seleccione la pestaña Rol y busque El usuario de cifrado del servicio criptográfico de Key Vault o un rol que habilita los permisos de obtención, ajuste y desencapsulación de claves .

  9. Seleccione Key Vault Crypto Service Encryption User (Usuario de cifrado del servicio criptográfico de Key Vault).

  10. Seleccione Revisar y asignar y, a continuación, seleccione Revisar y asignar para confirmar su elección.

Paso 4: Creación de una clave de Azure Key Vault

Para crear una clave de Azure Key Vault, siga las instrucciones de Creación de un almacén de claves mediante Azure Portal.

Requisitos de Key Vault

Fabric solo admite claves sin versión administradas por el cliente, que son claves en el formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} para Almacenes y https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} para HSMs Administrados. Fabric verifica diariamente la bóveda de claves para comprobar si hay una nueva versión y utiliza la versión más reciente disponible. Para evitar tener un período en el que no pueda acceder a los datos del área de trabajo después de crear una nueva clave, espere 24 horas antes de deshabilitar la versión anterior.

Bóveda de claves y HSM gestionado deben tener habilitadas la eliminación suave y la protección de purga, y la clave debe ser del tipo RSA o RSA-HSM. Los tamaños de clave admitidos son:

  • 2048 bits
  • 3072 bits
  • 4096 bits

Para más información, consulte Acerca de las claves.

Nota:

No se admiten claves de 4096 bits para SQL Database en Microsoft Fabric.

También puede usar Azure Key Vaults para los que está habilitada la configuración del firewall. Al deshabilitar el acceso público a Key Vault, puede elegir la opción "Permitir que los servicios de Microsoft de confianza omitan este firewall".

Paso 5: Habilitación del cifrado mediante claves administradas por el cliente

Después de completar los requisitos previos, siga los pasos descritos en esta sección para habilitar las claves administradas por el cliente en el área de trabajo de Fabric.

  1. En el área de trabajo de Fabric, seleccione Configuración del área de trabajo.

  2. En el panel Configuración del área de trabajo, seleccione Cifrado.

  3. Habilite Aplicar claves administradas por el cliente.

  4. En el campo Identificador de clave, escriba el identificador de clave administrada por el cliente.

  5. Selecciona Aplicar.

Una vez completados estos pasos, el área de trabajo se cifra con una clave administrada por el cliente. Esto significa que todos los datos de Onelake están cifrados y que los elementos existentes y futuros del área de trabajo se cifrarán mediante la clave administrada por el cliente que usó para la instalación. Puede revisar el estado de cifrado Activo, En curso o Error en la pestaña Cifrado de la configuración del área de trabajo. Los elementos para los que el cifrado está en curso o con errores también se enumeran de forma categórica. La clave debe permanecer activa en Key Vault mientras el cifrado está en curso (estado: en curso). Actualice la página para ver el estado de cifrado más reciente. Si se ha producido un error en el cifrado para algunos elementos del área de trabajo, puede volver a intentarlo mediante una clave diferente.

Revocar acceso

Para revocar el acceso a los datos de un área de trabajo cifrada mediante una clave administrada por el cliente, revoque la clave en Azure Key Vault. Dentro de 60 minutos a partir del momento en que se revoca la clave, fallan las llamadas de lectura y escritura al espacio de trabajo.

Para revocar la clave de cifrado administrada por el cliente, cambie la directiva de acceso o los permisos para el almacén de claves o elimine la clave.

Para restablecer el acceso, restaure el acceso a la clave administrada por el cliente en Key Vault.

Nota:

El área de trabajo no vuelve a validar automáticamente la clave de SQL Database en Microsoft Fabric. En su lugar, el usuario debe volver a validar manualmente la CMK para restaurar el acceso.

Deshabilitar el cifrado

Para deshabilitar el cifrado del área de trabajo mediante una clave administrada por el cliente, vaya a Configuración del área de trabajo deshabilitar Aplicar claves administradas por el cliente. El área de trabajo permanece cifrada mediante claves administradas de Microsoft.

Nota:

No se pueden deshabilitar las claves administradas por el cliente mientras el cifrado de alguno de los elementos de Fabric del área de trabajo esté en curso.

Monitorización

Puede realizar un seguimiento de las solicitudes de configuración de cifrado de las áreas de trabajo de Fabric mediante entradas del registro de auditoría. Los siguientes nombres de operación se usan en los registros de auditoría:

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Consideraciones y limitaciones

Antes de configurar el área de trabajo de Fabric con una clave administrada por el cliente, tenga en cuenta las siguientes limitaciones:

  • Los datos que se enumeran a continuación no están protegidos con claves administradas por el cliente:

    • Nombres de columna de Lakehouse, formato de tabla, compresión de tabla.
    • No se protegen todos los datos almacenados en los clústeres de Spark (datos almacenados en discos temporales como parte de barajamientos, desbordamientos de datos o memorias caché de RDD en una aplicación de Spark). Esto incluye todos los trabajos de Spark de cuadernos, Lakehouses, definiciones de trabajos de Spark, trabajos de carga y mantenimiento de tablas de Lakehouse, transformaciones rápidas, actualización de vista materializada de Fabric.
    • Los registros de trabajo almacenados en el servidor de historial
    • Las bibliotecas asociadas como parte de entornos o agregadas como parte de la personalización de sesión de Spark mediante comandos magic no están protegidas
    • Metadatos generados al crear un trabajo de canalización y copia, como el nombre de la base de datos, la tabla, el esquema
    • Metadatos del modelo y el experimento de ML, como el nombre del modelo, la versión, las métricas
    • Consultas del almacén en Object Explored y la memoria caché del backend, que se elimina después de cada uso

  • CMK se admite en todos los F SKU. Las capacidades de prueba no se pueden usar para el cifrado mediante CMK. CMK no puede habilitarse para espacios de trabajo que tienen BYOK habilitado, y los espacios de trabajo con CMK tampoco pueden trasladarse a capacidades donde BYOK está habilitado.

  • CMK se puede habilitar mediante el portal de Fabric y no tiene compatibilidad con api.

  • CMK se puede habilitar y deshabilitar para el área de trabajo mientras la configuración de cifrado de nivel de inquilino está activada. Una vez desactivada la configuración del inquilino, ya no puede habilitar CMK para áreas de trabajo de ese inquilino o deshabilitar CMK para áreas de trabajo que ya tienen CMK activada en ese inquilino. Los datos de las áreas de trabajo que habilitaron CMK antes de que se desactivara la configuración del inquilino permanecerán cifrados con la clave administrada por el cliente. Mantenga activa la clave asociada para poder desencapsular datos en esa área de trabajo.

Contenido relacionado

  • Last updated on