Chaves gerenciadas pelo cliente para espaços de trabalho do Fabric

O Microsoft Fabric criptografa todos os dados em repouso usando chaves gerenciadas pela Microsoft. Com chaves gerenciadas pelo cliente para espaços de trabalho do Fabric, você pode usar suas chaves do Cofre da Chave do Azure para adicionar outra camada de proteção aos dados em seus espaços de trabalho do Microsoft Fabric - incluindo todos os dados no OneLake. Uma chave gerenciada pelo cliente oferece maior flexibilidade, permitindo que você gerencie sua rotação, controle o acesso e a auditoria de uso. Ele também ajuda as organizações a atender às necessidades de governança de dados e cumprir os padrões de criptografia e proteção de dados.

Como funcionam as chaves gerenciadas pelo cliente

Todos os armazenamentos de dados do Fabric são criptografados em repouso com chaves gerenciadas pela Microsoft. As chaves gerenciadas pelo cliente usam criptografia de envelope, onde uma chave de criptografia de chave (KEK) criptografa uma chave de criptografia de dados (DEK). Ao usar chaves gerenciadas pelo cliente, a DEK gerenciada pela Microsoft criptografa seus dados e, em seguida, a DEK é criptografada usando seu KEK gerenciado pelo cliente. O uso de um KEK que nunca sai do Cofre da Chave permite que as próprias chaves de criptografia de dados sejam criptografadas e controladas. Isso garante que todo o conteúdo do cliente em um espaço de trabalho habilitado para CMK seja criptografado usando suas chaves gerenciadas pelo cliente.

Habilite a criptografia com chaves gerenciadas pelo cliente para seu espaço de trabalho

Os administradores do espaço de trabalho podem configurar a criptografia usando CMK no nível do espaço de trabalho. Depois que o administrador do espaço de trabalho habilita a configuração no portal, todo o conteúdo do cliente armazenado nesse espaço de trabalho é criptografado usando a CMK especificada. O CMK integra-se com as políticas de acesso e o controlo de acesso baseado em funções (RBAC) da AKV, permitindo-lhe flexibilidade para definir permissões granulares com base no modelo de segurança da sua organização. Se você optar por desabilitar a criptografia CMK mais tarde, o espaço de trabalho voltará a usar chaves gerenciadas pela Microsoft. Você também pode revogar a chave a qualquer momento e o acesso aos dados criptografados será bloqueado dentro de uma hora após a revogação. Com a granularidade e o controlo no nível do espaço de trabalho, você eleva a segurança dos seus dados no Fabric.

Itens suportados

Atualmente, há suporte para chaves geridas pelo cliente para os seguintes itens do Fabric:

• Casa do Lago
• Armazém
• Computador portátil
• Meio Ambiente
• Definição de trabalho do Spark
• API para GraphQL
• Modelo de ML
• Experimento
• Gasoduto
• Fluxo de dados
• Soluções Industriais
• SQL Database (pré-visualização)

Esse recurso não pode ser habilitado para um espaço de trabalho que contenha itens sem suporte. Quando a criptografia de chave gerenciada pelo cliente para um espaço de trabalho de malha está habilitada, somente os itens suportados podem ser criados nesse espaço de trabalho. Para usar itens sem suporte, crie-os em um espaço de trabalho diferente que não tenha esse recurso habilitado.

Configurar a criptografia com chaves gerenciadas pelo cliente para seu espaço de trabalho

A chave gerenciada pelo cliente para espaços de trabalho do Fabric requer uma configuração inicial. Essa configuração inclui habilitar a configuração do locatário de criptografia do Fabric, configurar o Cofre de Chaves do Azure e conceder ao aplicativo CMK da Plataforma Fabric acesso ao Cofre de Chaves do Azure. Quando a configuração estiver concluída, um usuário com uma função de espaço de trabalhode administrador poderá habilitar o recurso no espaço de trabalho.

Etapa 1: Ativar a definição de tenant do Fabric

Um administrador de malha precisa certificar-se de que a configuração Aplicar chaves gerenciadas pelo cliente está habilitada. Para obter mais informações, consulte o artigo Configuração de criptografia do locatário.

Etapa 2: Criar uma Service Principal para a aplicação Fabric Platform CMK

O Fabric usa o aplicativo Fabric Platform CMK para acessar seu Cofre da Chave do Azure. Para que o aplicativo funcione, uma entidade de serviço deve ser criada para o locatário. Esse processo é executado por um usuário que tem privilégios de ID do Microsoft Entra, como um administrador de aplicativo de nuvem.

Siga as instruções em Criar uma aplicação empresarial a partir de uma aplicação multilocatário no Microsoft Entra ID para criar um principal de serviço para uma aplicação denominada Fabric Platform CMK com ID da aplicação 61d6811f-7544-4e75-a1e6-1c59c0383311 no seu inquilino do Microsoft Entra ID.

Etapa 3: Configurar o Azure Key Vault

Você precisa configurar seu Cofre da Chave para que o Fabric possa acessá-lo. Esta etapa é executada por um usuário que tem privilégios do Cofre da Chave, como um Administrador do Cofre da Chave. Para obter mais informações, consulte Funções de segurança do Azure.

1. Abra o portal do Azure e navegue até o Cofre da Chave. Se você não tiver o Cofre da Chave, siga as instruções em Criar um cofre de chaves usando o portal do Azure.

2. No cofre de chaves, configure as seguintes definições:

   • Exclusão suave - Ativada
   • Proteção de purga - Ativada

3. No Cofre da Chave, abra o controle de acesso (IAM).

4. No menu pendente Adicionar, selecione Adicionar atribuição de função.

5. Selecione a guia Membros e, em seguida, clique em Selecionar membros.

6. No painel Selecionar membros, procure por Fabric Platform CMK

7. Selecione o aplicativo Fabric Platform CMK e, em seguida, Selecionar.

8. Selecione o separador Função e procure por Key Vault Crypto Service Encryption User ou um cargo que habilite as permissões get, wrapKey e unwrapKey.

9. Selecione Key Vault Crypto Service Encryption User.

10. Selecione Rever + atribuir e, em seguida, selecione Rever + atribuir para confirmar a sua escolha.

Etapa 4: Criar uma chave do Azure Key Vault

Para criar uma chave do Cofre da Chave do Azure, siga as instruções em Criar um cofre de chaves usando o portal do Azure.

Requisitos do Key Vault

O Fabric suporta apenas chaves gerenciadas pelo cliente sem versão, que são chaves no formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} para Vaults e https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} para Managed HSM. O Fabric verifica diariamente o cofre de chaves em busca de uma nova versão e usa a versão mais recente disponível. Para evitar ter um período em que você não pode acessar dados no espaço de trabalho depois que uma nova chave é criada, aguarde 24 horas antes de desativar a versão mais antiga.

O Cofre de Chaves e o HSM Gerenciado devem ter a proteção de exclusão suave e limpeza habilitada e a chave deve ser do tipo RSA ou RSA-HSM. Os tamanhos de chave suportados são:

• 2.048 bits
• 3.072 bits
• 4.096 bits

Para obter mais informações, consulte Sobre chaves.

Você também pode usar os Cofres de Chaves do Azure para os quais a configuração de firewall está habilitada. Ao desativar o acesso público ao Cofre da Chave, você pode escolher a opção "Permitir que os Serviços Microsoft Confiáveis ignorem este firewall".

Etapa 5: Habilitar a criptografia usando chaves gerenciadas pelo cliente

Depois de concluir os pré-requisitos, siga as etapas nesta seção para habilitar chaves gerenciadas pelo cliente em seu espaço de trabalho do Fabric.

1. No espaço de trabalho Fabric, selecione Configurações do espaço de trabalho.

2. No painel Configurações do espaço de trabalho , selecione Criptografia.

3. Habilite Aplicar chaves gerenciadas pelo cliente.

4. No campo Identificador de chave , insira o identificador de chave gerenciado pelo cliente.

5. Selecione Aplicar.

Depois de concluir essas etapas, seu espaço de trabalho é criptografado com uma chave gerenciada pelo cliente. Isso significa que todos os dados no Onelake são criptografados e que os itens existentes e futuros no espaço de trabalho serão criptografados pela chave gerenciada pelo cliente que você usou para a configuração. Você pode revisar o status da criptografia Ativo, Em andamento ou Falha na guia Criptografia nas configurações do espaço de trabalho. Os itens para os quais a criptografia está em andamento ou falhou também são listados categoricamente. A chave precisa permanecer ativa no Cofre da Chave enquanto a criptografia está em andamento (Status: Em andamento). Atualize a página para exibir o status de criptografia mais recente. Se a criptografia tiver falhado para alguns itens no espaço de trabalho, você poderá tentar novamente usar uma chave diferente.

Revogar acesso

Para revogar o acesso a dados em um espaço de trabalho criptografado usando uma chave gerenciada pelo cliente, revogue a chave no Cofre de Chaves do Azure. Dentro de 60 minutos a partir do momento em que a chave é revogada, as chamadas de leitura e gravação no espaço de trabalho falham.

Você pode revogar uma chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.

Para restabelecer o acesso, restaure o acesso à chave gerenciada pelo cliente no Cofre de Chaves.

Desativar a encriptação

Para desativar a criptografia do espaço de trabalho usando uma chave gerenciada pelo cliente, vá para Configurações do espaço de trabalho desative Aplicar chaves gerenciadas pelo cliente. O espaço de trabalho permanece criptografado usando chaves gerenciadas pela Microsoft.

Monitorização

Você pode seguir solicitações de configuração de criptografia para seus espaços de trabalho Fabric através de entradas de registo de auditoria. Os seguintes nomes de operação são usados em logs de auditoria:

• ApplyWorkspaceEncryption
• DisableWorkspaceEncryption
• GetWorkspaceEncryption

Considerações e limitações

Antes de configurar seu espaço de trabalho do Fabric com uma chave gerenciada pelo cliente, considere as seguintes limitações:

• Os dados listados abaixo não são protegidos com chaves gerenciadas pelo cliente:

  • Nomes de colunas do Lakehouse, formato de tabela, compressão de tabelas.
  • Todos os dados armazenados nos Spark Clusters (dados armazenados em discos temporários como parte do shuffle ou transbordos de dados ou caches RDD em uma aplicação Spark) não são protegidos. Isso inclui todos os trabalhos do Spark de notebooks, Lakehouses, definições de trabalho do Spark, trabalhos de carga e manutenção da tabela Lakehouse, transformações de atalho, atualização da exibição materializada da malha.
  • Os registos de tarefas armazenados no servidor de histórico
  • As bibliotecas anexadas como parte de ambientes ou adicionadas como parte da personalização da sessão do Spark usando comandos mágicos não são protegidas
  • Metadados gerados ao criar uma tarefa de Pipeline e de Cópia, como nome do banco de dados, tabela, esquema
  • Metadados do modelo e experimento de ML, como o nome do modelo, versão, métricas
  • Consultas de armazém no Objeto explorado e cache de back-end, que é removido após cada uso

• CMK é suportado em todos os F SKUs. As capacidades experimentais não podem ser usadas para criptografia usando CMK. A CMK não pode ser habilitada para espaços de trabalho com BYOK habilitado e os espaços de trabalho CMK também não podem ser movidos para capacidades para as quais o BYOK está habilitado.

• A CMK pode ser habilitada usando o portal Fabric e não tem suporte a API.

• A CMK pode ser habilitada e desabilitada para o espaço de trabalho enquanto a configuração de criptografia no nível do locatário estiver ativada. Depois que a configuração de locatário estiver desativada, você não poderá mais habilitar a CMK para espaços de trabalho nesse locatário ou desabilitar a CMK para espaços de trabalho que já tenham a CMK ativada nesse locatário. Os dados em espaços de trabalho que habilitaram a CMK antes da configuração do locatário ser desativada permanecerão criptografados com a chave gerenciada pelo cliente. Mantenha a chave associada ativa para poder desempacotar dados nesse espaço de trabalho.

Conteúdo relacionado

• Fundamentos de segurança

• Licenças do Microsoft Fabric