Door de klant beheerde sleutels voor Fabric werkruimten

Microsoft Fabric alle data-at-rest versleutelt met behulp van Microsoft beheerde sleutels. Met door de klant beheerde sleutels voor Fabric werkruimten kunt u uw Azure Key Vault sleutels gebruiken om een andere beveiligingslaag toe te voegen aan de gegevens in uw Microsoft Fabric werkruimten, inclusief alle gegevens in OneLake. Een door de klant beheerde sleutel biedt meer flexibiliteit, zodat u de rotatie kunt beheren, de toegang kunt beheren en de gebruikscontrole kunt beheren. Het helpt organisaties ook te voldoen aan de behoeften van gegevensbeheer en te voldoen aan de normen voor gegevensbescherming en versleuteling.

Hoe door de klant beheerde sleutels werken

Alle Fabric gegevensarchieven worden in rust versleuteld met Microsoft-beheerde sleutels. Door de klant beheerde sleutels maken gebruik van envelopversleuteling, waarbij een Sleutelversleutelingssleutel (KEK) een DEK (Data Encryption Key) versleutelt. Wanneer u door de klant beheerde sleutels gebruikt, versleutelt de Microsoft beheerde DEK uw gegevens en wordt de DEK versleuteld met behulp van uw door de klant beheerde KEK. Het gebruik van een KEK die de Key Vault nooit verlaat, zorgt ervoor dat de gegevensversleutels zelf worden versleuteld en beheerd. Dit zorgt ervoor dat alle inhoud van klanten in een cmk-werkruimte wordt versleuteld met behulp van uw door de klant beheerde sleutels.

Versleuteling inschakelen met door de klant beheerde sleutels voor uw werkruimte

Werkruimtebeheerders kunnen versleuteling instellen met behulp van CMK op werkruimteniveau. Zodra de werkruimtebeheerder de instelling in de portal inschakelt, wordt alle inhoud van de klant die in die werkruimte is opgeslagen, versleuteld met behulp van de opgegeven CMK. CMK kan worden geïntegreerd met het toegangsbeleid van AKV en op rollen gebaseerd toegangsbeheer (RBAC), zodat u flexibiliteit hebt om gedetailleerde machtigingen te definiëren op basis van het beveiligingsmodel van uw organisatie. Als u ervoor kiest om CMK-versleuteling later uit te schakelen, wordt de werkruimte teruggezet naar het gebruik van Microsoft beheerde sleutels. U kunt de sleutel ook op elk gewenst moment intrekken en de toegang tot de versleutelde gegevens wordt binnen een uur na intrekking geblokkeerd. Met granulariteit en controle op werkruimteniveau verhoogt u de beveiliging van uw gegevens in Fabric.

Ondersteunde items

Door de klant beheerde sleutels worden momenteel ondersteund voor de volgende Fabric items:

• Lakehouse
• Magazijn
• Notitieboek
• Milieu
• Spark-taakdefinitie
• API voor GraphQL
• ML-model
• Experiment
• Pipeline
• Gegevensstroom
• Taak kopiëren
• Industrieoplossingen
• SQL-database
• Eventhouse (voorbeeldweergave)
• Grafiek (voorbeeldweergave)

Deze functie kan niet worden ingeschakeld voor een werkruimte die niet-ondersteunde items bevat. Wanneer door de klant beheerde sleutelversleuteling voor een Fabric werkruimte is ingeschakeld, kunnen alleen ondersteunde items in die werkruimte worden gemaakt. Als u niet-ondersteunde items wilt gebruiken, maakt u deze in een andere werkruimte waarvoor deze functie niet is ingeschakeld.

Versleuteling configureren met door de klant beheerde sleutels voor uw werkruimte

Door de klant beheerde sleutel voor Fabric werkruimten vereist een eerste installatie. Deze instelling omvat het inschakelen van de Fabric-tenantinstelling voor versleuteling, het configureren van Azure Key Vault en het verlenen van de Fabric Platform CMK-app toegang tot Azure Key Vault. Zodra de installatie is voltooid, kan een gebruiker met een beheerderwerkruimerol de functie inschakelen op de werkruimte.

Stap 1: De Fabric-tenantinstelling inschakelen

Een Fabric administrator moet ervoor zorgen dat de instelling Apply door de klant beheerde sleutels is ingeschakeld. Zie het artikel Over de instelling van de versleutelingstenant voor meer informatie.

Stap 2: Een service-principal maken voor de FABRIC Platform CMK-app

Fabric gebruikt de Fabric Platform CMK-app voor toegang tot uw Azure Key Vault. De app werkt alleen als er een service-principal voor de tenant wordt gemaakt. Dit proces wordt uitgevoerd door een gebruiker met Microsoft Entra ID bevoegdheden, zoals een Cloud-toepassingsbeheerder.

Volg de instructies in Een bedrijfsapplicatie maken van een multitenante applicatie in Microsoft Entra ID om een service-principal te maken voor een applicatie genaamd Fabric Platform CMK met App-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 in uw Microsoft Entra ID-tenant.

Stap 3: Azure Key Vault configureren

U moet uw Key Vault zo configureren dat Fabric er toegang toe heeft. Deze stap wordt uitgevoerd door een gebruiker met Key Vault bevoegdheden, zoals een Key Vault Administrator. Zie Azure Security rollen voor meer informatie.

1. Open de Azure-portal en navigeer naar uw Key Vault. Als u geen Key Vault hebt, volgt u de instructies in Maak een key vault met behulp van de Azure portal.

2. Configureer in uw Key Vault de volgende instellingen:

   • Voorlopig verwijderen - ingeschakeld
   • Verwijderingsbeveiliging - ingeschakeld

3. Open in uw Key Vault Toegangsbeheer (IAM).

4. Selecteer Roltoewijzing toevoegen in de vervolgkeuzelijst Toevoegen.

5. Selecteer het tabblad Leden en klik vervolgens op Leden selecteren.

6. Zoek in het deelvenster Selecteer leden naar Fabric Platform CMK

7. Selecteer de app Fabric Platform CMK en klik vervolgens op Select.

8. Selecteer het tabblad Role en zoek naar Key Vault Crypto Service Encryption User of een rol waarmee get,wrapkey en unwrap key machtigingen mogelijk zijn.

9. Selecteer Key Vault Crypto Service Encryption User.

10. Selecteer Beoordelen en toewijzen en selecteer Vervolgens Beoordelen en toewijzen om uw keuze te bevestigen.

Stap 4: Een Azure Key Vault-sleutel maken

Als u een Azure Key Vault-sleutel wilt maken, volgt u de instructies in Maak een sleutelkluis met behulp van de Azure-portal.

vereisten voor Key Vault

Fabric ondersteunt alleen versieloze door de klant beheerde sleutels. Dit zijn sleutels in de indeling https://{vault-name}.vault.azure.net/{key-type}/{key-name} voor kluizen en https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} voor beheerde HSM. Fabric controleert de sleutelkluis dagelijks op een nieuwe versie en gebruikt de nieuwste versie die beschikbaar is. Wacht 24 uur voordat u de oudere versie uitschakelt om te voorkomen dat u geen toegang hebt tot gegevens in de werkruimte als er een nieuwe sleutel is aangemaakt.

Key Vault en beheerde HSM moeten zowel voorlopig verwijderen als opschoningsbeveiliging ingeschakeld hebben en de sleutels moeten van het type RSA of RSA-HSM zijn. De ondersteunde sleutelgrootten zijn:

• 2048-bits
• 3.072 bit
• 4.096-bits

Zie Over sleutels voor meer informatie.

U kunt ook Azure Key Vaults gebruiken waarvoor de instelling firewall is ingeschakeld. Wanneer u openbare toegang tot de Key Vault uitschakelt, kunt u de optie 'Vertrouwde Microsoft Services toestaan om deze firewall te omzeilen'.

Stap 5: Versleuteling inschakelen met door de klant beheerde sleutels

Nadat u de vereisten hebt voltooid, volgt u de stappen in deze sectie om door de klant beheerde sleutels in uw Fabric werkruimte in te schakelen.

1. Ga naar uw Fabric-werkruimte en selecteer Werkruimteinstellingen.

2. Selecteer Versleuteling in het deelvenster Werkruimte-instellingen.

3. Schakel Klantenbeheerde sleutels toepassen in.

4. Voer in het veld Sleutel-id uw door de klant beheerde sleutel-id in.

5. Selecteer de optie Toepassen.

Zodra u deze stappen hebt voltooid, wordt uw werkruimte versleuteld met een door de klant beheerde sleutel. Dit betekent dat alle gegevens in OneLake zijn versleuteld en dat bestaande en toekomstige items in de werkruimte worden versleuteld door de door de klant beheerde sleutel die u voor de installatie hebt gebruikt. U kunt de versleutelingsstatus Actief, Wordt uitgevoerd of Mislukt bekijken op het tabblad Versleuteling in werkruimte-instellingen. Items waarvoor versleuteling wordt uitgevoerd of mislukt, worden ook categorisch weergegeven. De sleutel moet actief blijven in de Key Vault terwijl versleuteling wordt uitgevoerd (Status: Wordt uitgevoerd). Vernieuw de pagina om de meest recente versleutelingsstatus weer te geven. Als versleuteling is mislukt voor sommige items in de werkruimte, kunt u het opnieuw proberen met een andere sleutel.

Toegang intrekken

Als u de toegang tot gegevens in een werkruimte wilt intrekken die is versleuteld met behulp van een door de klant beheerde sleutel, trekt u de sleutel in de Azure Key Vault in. Binnen 60 minuten vanaf het moment dat de sleutel wordt ingetrokken, mislukt het lezen en schrijven van aanroepen naar de werkruimte.

U kunt een door de klant beheerde versleutelingssleutel intrekken door het toegangsbeleid te wijzigen, door de machtigingen voor de sleutelkluis te wijzigen of door de sleutel te verwijderen.

Als u de toegang wilt herstellen, herstelt u de toegang tot de door de klant beheerde sleutel in de Key Vault.

De versleuteling uitschakelen

Als u het versleutelen van de werkruimte wilt uitschakelen met een door de klant beheerde sleutel, gaat u naar Werkruimte-instellingen en schakelt u Door de klant beheerde sleutels toepassen uit. De werkruimte blijft versleuteld met Microsoft beheerde sleutels.

Controle

U kunt versleutelingsconfiguratieaanvragen voor uw Fabric werkruimten bijhouden door vermeldingen in het auditlogboek. De volgende bewerkingsnamen worden gebruikt in auditlogboeken:

• ApplyWorkspaceEncryption
• DisableWorkspaceEncryption
• GetWorkspaceEncryption

Overwegingen en beperkingen

Voordat u uw Fabric werkruimte configureert met een door de klant beheerde sleutel, moet u rekening houden met de volgende beperkingen:

• De volgende gegevens worden niet beveiligd met door de klant beheerde sleutels:

  • Lakehouse-kolomnamen, tabelindeling, tabelcompressie.
  • Alle gegevens die zijn opgeslagen in de Spark-clusters (gegevens die zijn opgeslagen in tijdelijke schijven als onderdeel van willekeurige volgorde of gegevenslekken of RDD-caches in een Spark-toepassing) worden niet beveiligd. Dit omvat alle Spark-taken van notebooks, Lakehouses, Spark-taakdefinities, taken voor laden en onderhoud van Lakehouse-tabellen, snelkoppelingstransformaties, Fabric gerealiseerde weergave vernieuwen.
  • De taaklogboeken die zijn opgeslagen op de geschiedenisserver
  • Bibliotheken die zijn gekoppeld als onderdeel van omgevingen of worden toegevoegd als onderdeel van de Spark-sessieaanpassing met behulp van magic-opdrachten worden niet beveiligd
  • Metagegevens die worden gegenereerd bij het maken van een pijplijn- en kopieertaak, zoals DB-naam, tabel, schema
  • Metagegevens van ML-model en experiment, zoals de modelnaam, versie, metrische gegevens
  • Warehouse-query's op Object Explored en back-end cache, die na elk gebruik wordt geleegd uit het geheugen

• CMK wordt ondersteund voor alle F-SKU's. Evaluatiecapaciteiten kunnen niet worden gebruikt voor versleuteling met behulp van CMK.

• U kunt CMK inschakelen voor werkruimten die worden gehost in BYOK-capaciteiten. Dezelfde of afzonderlijke sleutels kunnen worden gebruikt voor het beveiligen van beide items in een werkruimte met CMK-functionaliteit en semantische modellen die zich op de BYOK-capaciteit bevinden. (voorvertoning)

• CMK kan worden ingeschakeld met behulp van de Fabric-portal en heeft geen API-ondersteuning.

• CMK kan worden ingeschakeld en uitgeschakeld voor de werkruimte terwijl de versleutelingsinstelling op tenantniveau is ingeschakeld. Zodra de tenantinstelling is uitgeschakeld, kunt u CMK niet meer inschakelen voor werkruimten in die tenant of CMK uitschakelen voor werkruimten waarvoor CMK al is ingeschakeld in die tenant. Gegevens in werkruimten waarvoor CMK is ingeschakeld voordat de tenantinstelling is uitgeschakeld, blijven versleuteld met de door de klant beheerde sleutel. Houd de bijbehorende sleutel actief om gegevens in die werkruimte uit te pakken.

Verwante inhoud

• Basisprincipes van beveiliging

• Microsoft Fabric licenties