Claves administradas por el cliente para áreas de trabajo de Fabric

Microsoft Fabric cifra todos los datos en reposo mediante claves administradas por Microsoft. Con las claves administradas por el cliente para áreas de trabajo de Fabric, puede usar las claves Azure Key Vault para agregar otra capa de protección a los datos de las áreas de trabajo de Microsoft Fabric, incluidos todos los datos de OneLake. Una clave administrada por el cliente proporciona una mayor flexibilidad, lo que le permite administrar su rotación, controlar el acceso y la auditoría de uso. También ayuda a las organizaciones a satisfacer las necesidades de gobernanza de datos y a cumplir con los estándares de cifrado y protección de datos.

Funcionamiento de las claves administradas por el cliente

Todos los almacenes de datos Fabric se cifran en reposo con claves administradas Microsoft. Las claves administradas por el cliente usan el cifrado con sobre, donde una Clave de Cifrado de Claves (KEK) cifra una Clave de Cifrado de Datos (DEK). Cuando utilizas claves gestionadas por el cliente, el DEK administrado por Microsoft cifra tus datos, y después, el DEK es cifrado usando tu KEK gestionada por el cliente. El uso de una KEK que nunca deja el Almacén de claves permite cifrar y controlar las claves de cifrado de datos. Esto garantiza que todo el contenido del cliente de un área de trabajo con CMK habilitado se cifre mediante las claves administradas por el cliente.

Habilitación del cifrado con claves administradas por el cliente para el área de trabajo

Los administradores del área de trabajo pueden configurar el cifrado mediante CMK en el nivel de área de trabajo. Una vez que el administrador del área de trabajo habilita la configuración en el portal, todo el contenido del cliente almacenado en esa área de trabajo se cifra mediante la CMK especificada. CMK se integra con las directivas de acceso de AKV y el control de acceso basado en rol (RBAC), lo que le permite definir permisos pormenorizados en función del modelo de seguridad de la organización. Si decide deshabilitar el cifrado cmK más adelante, el área de trabajo se revierte al uso de claves administradas Microsoft. También puede revocar la clave en cualquier momento y el acceso a los datos cifrados está bloqueado en un plazo de una hora de revocación. Con la granularidad y el control a nivel de espacio de trabajo, mejora la seguridad de tus datos en Fabric.

Elementos admitidos

Actualmente, las claves administradas por el cliente se admiten para los siguientes elementos de Fabric:

  • Lakehouse
  • Almacén
  • Notebook
  • Medio ambiente
  • Definición de trabajo de Spark
  • API para GraphQL
  • Modelo de ML
  • Experimento
  • Pipeline
  • Flujo de datos
  • Soluciones del sector
  • Base de datos SQL
  • Eventhouse (versión preliminar)
  • Gráfico (versión preliminar)

Esta característica no se puede habilitar para un área de trabajo que contenga elementos no admitidos. Cuando se habilita el cifrado de clave administrada por el cliente para un área de trabajo de Fabric, solo se pueden crear elementos admitidos en esa área de trabajo. Para usar elementos no admitidos, créelos en un área de trabajo diferente que no tenga habilitada esta característica.

Configuración del cifrado con claves administradas por el cliente para el área de trabajo

La clave administrada por el cliente para las áreas de trabajo de Fabric requiere una configuración inicial. Esta configuración incluye habilitar el ajuste del cifrado del inquilino de Fabric, configurar Azure Key Vault y otorgar acceso de la aplicación CMK de Fabric Platform a Azure Key Vault. Una vez completada la instalación, un usuario con un rol de área de trabajode administrador puede habilitar la característica en el área de trabajo.

Paso 1: Habilitar la configuración de la entidad de Fabric

Un Fabric administrador debe asegurarse de que la configuración Aplicar claves administradas por el cliente esté habilitada. Para más información, consulte el artículo Configuración del cifrado del inquilino.

Paso 2: Creación de una entidad de servicio para la aplicación CMK de Fabric Platform

Fabric usa la aplicación Fabric Platform CMK para acceder a la Azure Key Vault. Para que la aplicación funcione, se debe crear un principal del servicio para el arrendatario. Este proceso lo realiza un usuario que tiene privilegios de Microsoft Entra ID, como un Cloud Application Administrator.

Siga las instrucciones de Crear una aplicación empresarial desde una aplicación multiinquilino en Microsoft Entra ID para crear una entidad de servicio para una aplicación denominada Fabric Platform CMK con el identificador de aplicación 61d6811f-7544-4e75-a1e6-1c59c0383311 en su inquilino de Microsoft Entra ID.

Paso 3: Configurar Azure Key Vault

Debe configurar el Key Vault para que Fabric pueda acceder a él. Este paso lo realiza un usuario que tiene privilegios de Key Vault, como un Key Vault Administrador. Para obtener más información, consulte Azure Security roles.

  1. Abra el portal de Azure y vaya a la Key Vault. Si no tiene Key Vault, siga las instrucciones de Crear un key vault mediante el portal de Azure.

  2. En el Key Vault, configure los valores siguientes:

  3. En tu Key Vault, abre Control de acceso (IAM).

  4. En la lista desplegable Agregar , seleccione Agregar asignación de roles.

  5. Seleccione la pestaña Miembros y, a continuación, haga clic en Seleccionar miembros.

  6. En el panel Seleccionar miembros, busque Fabric Platform CMK

  7. Seleccione la aplicación Fabric Platform CMK y, a continuación, Select.

  8. Seleccione la pestaña Role y busque Usuario de cifrado del servicio criptográfico de Key Vault o un rol que habilite permisos de obtener, envolver clave y desenvolver clave.

  9. Seleccione Key Vault Crypto Service Encryption User.

  10. Seleccione Revisar y asignar y, a continuación, seleccione Revisar y asignar para confirmar su elección.

Paso 4: Crear una clave de Azure Key Vault

Para crear una clave de Azure Key Vault, siga las instrucciones de Crear un almacén de claves mediante el portal de Azure.

requisitos de Key Vault

Fabric solo admite claves administradas por el cliente sin versión, que son claves con el formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} para almacenes y https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} para HSM administrados. Fabric comprueba la bóveda de claves diariamente en busca de una nueva versión y usa la versión más reciente disponible. Para evitar tener un período en el que no pueda acceder a los datos del área de trabajo después de crear una nueva clave, espere 24 horas antes de deshabilitar la versión anterior.

Key Vault y HSM administrado deben tener habilitada la protección contra eliminación temporal y purga, y la clave debe ser de tipo RSA o RSA-HSM. Los tamaños de clave admitidos son:

  • 2048 bits
  • 3072 bits
  • 4096 bits

Para más información, consulte Acerca de las claves.

Nota:

Las claves de 4096 bits no se admiten para la base de datos SQL en Microsoft Fabric.

También puede usar Azure Almacenes de claves para los que la configuración firewall está habilitada. Al deshabilitar el acceso público a la Key Vault, puede elegir la opción "Permitir que los servicios de Microsoft de confianza omitan este firewall".

Paso 5: Habilitación del cifrado mediante claves administradas por el cliente

Después de completar los requisitos previos, siga los pasos de esta sección para habilitar las claves administradas por el cliente en el área de trabajo de Fabric.

  1. En el área de trabajo de Fabric, seleccione Configuración del espacio de trabajo.

  2. En el panel Configuración del área de trabajo, seleccione Cifrado.

  3. Habilite Aplicar claves administradas por el cliente.

  4. En el campo Identificador de clave, escriba el identificador de clave administrada por el cliente.

  5. Selecciona Aplicar.

Una vez completados estos pasos, el área de trabajo se cifra con una clave administrada por el cliente. Esto significa que todos los datos de OneLake están cifrados y que los elementos existentes y futuros del área de trabajo se cifran mediante la clave administrada por el cliente que usó para la configuración. Puede revisar el estado de cifrado Activo, En curso o Error en la pestaña Cifrado de la configuración del área de trabajo. Los elementos para los que el cifrado está en curso o con errores también se enumeran de forma categórica. La clave debe permanecer activa en el Key Vault mientras el cifrado está en curso (Status: In progress). Actualice la página para ver el estado de cifrado más reciente. Si se ha producido un error en el cifrado para algunos elementos del área de trabajo, puede volver a intentarlo mediante una clave diferente.

Revocar acceso

Para revocar el acceso a los datos de un área de trabajo cifrada mediante una clave administrada por el cliente, revoque la clave en el Azure Key Vault. Dentro de 60 minutos a partir del momento en que se revoca la clave, fallan las llamadas de lectura y escritura al espacio de trabajo.

Para revocar la clave de cifrado administrada por el cliente, cambie la directiva de acceso o los permisos para el almacén de claves o elimine la clave.

Para restablecer el acceso, restaure el acceso a la clave administrada por el cliente en el Key Vault.

Nota:

El área de trabajo no vuelve a validar automáticamente la clave de la base de datos SQL en Microsoft Fabric. En su lugar, debe volver a validar manualmente la CMK para restaurar el acceso.

Deshabilitar el cifrado

Para deshabilitar el cifrado del área de trabajo mediante una clave administrada por el cliente, vaya a Configuración del área de trabajo deshabilitar Aplicar claves administradas por el cliente. El área de trabajo permanece cifrada mediante Microsoft claves administradas.

Nota:

No puede deshabilitar las claves administradas por el cliente mientras el cifrado de cualquiera de los elementos de Fabric del área de trabajo está en curso.

Monitorización

Puede realizar un seguimiento de las solicitudes de configuración de cifrado de las áreas de trabajo de Fabric mediante entradas del registro de auditoría. Los siguientes nombres de operación se usan en los registros de auditoría:

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Consideraciones y limitaciones

Antes de configurar el área de trabajo de Fabric con una clave administrada por el cliente, tenga en cuenta las siguientes limitaciones:

  • Los datos siguientes no están protegidos con claves administradas por el cliente:

    • Nombres de columna de Lakehouse, formato de tabla, compresión de tabla.
    • No se protegen los datos almacenados en los clústeres de Spark (datos almacenados en discos temporales como parte del shuffle, derrame de datos o cachés de RDD en una aplicación de Spark). Esto incluye todos los trabajos de Spark de cuadernos de notas, Lakehouses, definiciones de trabajos de Spark, trabajos de carga y mantenimiento de tablas de Lakehouse, transformaciones de acceso directo, y la actualización de vistas materializadas de Fabric.
    • Los registros de trabajo almacenados en el servidor de historial
    • Las bibliotecas asociadas como parte de entornos o agregadas como parte de la personalización de sesión de Spark mediante comandos magic no están protegidas
    • Metadatos generados al crear un trabajo de canalización y copia, como el nombre de la base de datos, la tabla, el esquema
    • Metadatos del modelo y el experimento de ML, como el nombre del modelo, la versión, las métricas
    • Consultas del almacén en Object Explored y la memoria caché del backend, que se elimina después de cada uso

  • CMK se admite en todos los F SKU. Las capacidades de prueba no se pueden usar para el cifrado mediante CMK.

  • Puede activar CMK para áreas de trabajo hospedadas en capacidades BYOK. Las mismas claves o independientes se pueden usar para proteger ambos elementos en un área de trabajo habilitada para CMK y modelos semánticos que residen en la capacidad BYOK. (versión preliminar)

  • CMK se puede habilitar mediante el portal de Fabric y no tiene compatibilidad con la API.

  • CMK se puede habilitar y deshabilitar para el área de trabajo mientras la configuración de cifrado de nivel de inquilino está activada. Una vez desactivada la configuración del inquilino, ya no puede habilitar CMK para áreas de trabajo de ese inquilino o deshabilitar CMK para áreas de trabajo que ya tienen CMK activada en ese inquilino. Los datos de las áreas de trabajo que habilitaron CMK antes de desactivar la configuración del inquilino permanecen cifrados con la clave administrada por el cliente. Mantenga activa la clave asociada para poder desencapsular datos en esa área de trabajo.

Contenido relacionado

  • Last updated on