Chaves geridas pelo cliente para espaços de trabalho Fabric

O Microsoft Fabric encripta todos os dados em repouso usando chaves geridas pela Microsoft. Com as chaves geridas pelo cliente para os espaços de trabalho do Fabric, pode usar as suas chaves Azure Key Vault para adicionar outra camada de proteção aos dados nos seus espaços de trabalho do Microsoft Fabric – incluindo todos os dados no OneLake. Uma chave gerenciada pelo cliente oferece maior flexibilidade, permitindo que você gerencie sua rotação, controle o acesso e a auditoria de uso. Ele também ajuda as organizações a atender às necessidades de governança de dados e cumprir os padrões de criptografia e proteção de dados.

Como funcionam as chaves gerenciadas pelo cliente

Todos os armazenamentos de dados do Fabric são encriptados em repouso com chaves geridas pela Microsoft. As chaves gerenciadas pelo cliente usam criptografia de envelope, onde uma chave de criptografia de chave (KEK) criptografa uma chave de criptografia de dados (DEK). Ao usar chaves geridas pelo cliente, o DEK gerido pela Microsoft encripta os seus dados e, depois, o DEK é encriptado usando o seu KEK gerido pelo cliente. A utilização de um KEK que nunca sai do Key Vault permite que as próprias chaves de encriptação dos dados sejam encriptadas e controladas. Isso garante que todo o conteúdo do cliente em um espaço de trabalho habilitado para CMK seja criptografado usando suas chaves gerenciadas pelo cliente.

Habilite a criptografia com chaves gerenciadas pelo cliente para seu espaço de trabalho

Os administradores do espaço de trabalho podem configurar a criptografia usando CMK no nível do espaço de trabalho. Depois que o administrador do espaço de trabalho habilita a configuração no portal, todo o conteúdo do cliente armazenado nesse espaço de trabalho é criptografado usando a CMK especificada. O CMK integra-se com as políticas de acesso e o controlo de acesso baseado em funções (RBAC) da AKV, permitindo-lhe flexibilidade para definir permissões granulares com base no modelo de segurança da sua organização. Se optar por desativar a encriptação CMK mais tarde, o espaço de trabalho volta a usar chaves geridas pela Microsoft. Também pode revogar a chave a qualquer momento e o acesso aos dados encriptados é bloqueado dentro de uma hora após a revogação. Com granularidade e controlo ao nível do espaço de trabalho, aumenta a segurança dos seus dados no Fabric.

Itens suportados

Chaves geridas pelo cliente são atualmente suportadas para os seguintes itens Fabric:

• Casa do Lago
• Armazém
• Computador portátil
• Meio Ambiente
• Definição de trabalho do Spark
• API para GraphQL
• Modelo de ML
• Experimento
• Gasoduto
• Fluxo de dados
• Trabalho de cópia
• Soluções Industriais
• Base de Dados SQL
• Eventhouse (antevisão)
• Gráfico (pré-visualização)

Esse recurso não pode ser habilitado para um espaço de trabalho que contenha itens sem suporte. Quando a encriptação de chaves gerida pelo cliente para um espaço de trabalho Fabric está ativada, apenas os itens suportados podem ser criados nesse espaço de trabalho. Para usar itens não suportados, crie-os num espaço de trabalho diferente que não tenha esta funcionalidade ativada.

Configurar a criptografia com chaves gerenciadas pelo cliente para seu espaço de trabalho

A chave gerida pelo cliente para espaços de trabalho Fabric requer uma configuração inicial. Esta configuração inclui ativar a definição de tenant de encriptação Fabric, configurar o Azure Key Vault e conceder à aplicação CMK da Fabric Platform acesso ao Azure Key Vault. Quando a configuração estiver concluída, um usuário com uma função de espaço de trabalhode administrador poderá habilitar o recurso no espaço de trabalho.

Passo 1: Ativar a configuração do locatário Fabric

Um administrador Fabric precisa de garantir que a definição Aplicar chaves geridas pelo cliente está ativada. Para obter mais informações, consulte o artigo Configuração de criptografia do locatário.

Passo 2: Criar um Princípio de Serviço para a aplicação CMK da Fabric Platform

Fabric usa a aplicação CMK da plataforma Fabric para aceder à sua Azure Key Vault. Para que o aplicativo funcione, uma entidade de serviço deve ser criada para o locatário. Este processo é realizado por um utilizador que tem Microsoft Entra ID privilégios, como um Administrador de Aplicações Cloud.

Siga as instruções em Crie uma aplicação empresarial a partir de uma aplicação multitenant em Microsoft Entra ID para criar um principal de serviço para uma aplicação chamada Fabric Platform CMK com ID de aplicação 61d6811f-7544-4e75-a1e6-1c59c0383311 no seu Microsoft Entra ID tenant.

Passo 3: Configurar o Azure Key Vault

Tens de configurar o teu Key Vault para que o Fabric possa aceder a ele. Este passo é realizado por um utilizador que tem Key Vault privilégios, como um administrador Key Vault. Para mais informações, consulte funções de Segurança do Azure.

1. Abra o portal Azure e navegue até ao seu Key Vault. Se não tiveres Key Vault, segue as instruções em Cria uma key vault usando o portal Azure.

2. No seu Key Vault, configure as seguintes definições:

   • Exclusão suave - Ativada
   • Proteção de purga - Ativada

3. No seu Key Vault, abra Controlo de Acesso (IAM).

4. No menu pendente Adicionar, selecione Adicionar atribuição de função.

5. Selecione a guia Membros e, em seguida, clique em Selecionar membros.

6. No painel Selecionar membros, pesquise por Fabric Platform CMK

7. Selecione a aplicação Fabric Plataforma CMK e depois Select.

8. Selecione o separador Role e procure por Key Vault Crypto Service Encryption User ou uma função que permita as permissões "get", "wrapkey" e "unwrap key".

9. Selecione Key Vault utilizador de encriptação de serviço cripto.

10. Selecione Rever + atribuir e, em seguida, selecione Rever + atribuir para confirmar a sua escolha.

Passo 4: Criar uma chave Azure Key Vault

Para criar uma chave Azure Key Vault, siga as instruções em Crie um cofre de chaves usando o portal Azure.

Requisitos do Key Vault

Fabric apenas suporta chaves geridas pelo cliente sem versão, que são chaves no formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} para Vaults e https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} para HSM Gerido. O Fabric verifica diariamente o cofre de chaves à procura de uma nova versão e usa a versão mais recente disponível. Para evitar ter um período em que você não pode acessar dados no espaço de trabalho depois que uma nova chave é criada, aguarde 24 horas antes de desativar a versão mais antiga.

Key Vault e o HSM gerido devem ter tanto a proteção contra eliminação suave como a de purga ativada e a chave deve ser do tipo RSA ou RSA-HSM. Os tamanhos de chave suportados são:

• 2.048 bits
• 3.072 bits
• 4.096 bits

Para obter mais informações, consulte Sobre chaves.

Também pode usar Azure Key Vaults nos quais a configuração do firewall está ativada. Quando desativar o acesso público ao Key Vault, pode escolher a opção 'Permitir que os Serviços Microsoft Confiáveis contornem este firewall.'

Etapa 5: Habilitar a criptografia usando chaves gerenciadas pelo cliente

Após completar os pré-requisitos, siga os passos desta secção para ativar chaves geridas pelo cliente no seu espaço de trabalho Fabric.

1. No seu espaço de trabalho Fabric, selecione Definições do Espaço de Trabalho.

2. No painel Configurações do espaço de trabalho , selecione Criptografia.

3. Habilite Aplicar chaves gerenciadas pelo cliente.

4. No campo Identificador de chave , insira o identificador de chave gerenciado pelo cliente.

5. Selecione Aplicar.

Depois de concluir essas etapas, seu espaço de trabalho é criptografado com uma chave gerenciada pelo cliente. Isto significa que todos os dados no OneLake estão encriptados e que os itens existentes e futuros no espaço de trabalho são encriptados pela chave gerida pelo cliente que usou para a configuração. Você pode revisar o status da criptografia Ativo, Em andamento ou Falha na guia Criptografia nas configurações do espaço de trabalho. Os itens para os quais a criptografia está em andamento ou falhou também são listados categoricamente. A chave precisa de permanecer ativa no Key Vault enquanto a encriptação está em curso (Estado: Em progresso). Atualize a página para exibir o status de criptografia mais recente. Se a criptografia tiver falhado para alguns itens no espaço de trabalho, você poderá tentar novamente usar uma chave diferente.

Revogar acesso

Para revogar o acesso a dados num espaço de trabalho encriptado usando uma chave gerida pelo cliente, revoge a chave no Azure Key Vault. Dentro de 60 minutos a partir do momento em que a chave é revogada, as chamadas de leitura e gravação no espaço de trabalho falham.

Você pode revogar uma chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.

Para restabelecer o acesso, restaure o acesso à chave gerida pelo cliente no Key Vault.

Desativar a encriptação

Para desativar a criptografia do espaço de trabalho usando uma chave gerenciada pelo cliente, vá para Configurações do espaço de trabalho desative Aplicar chaves gerenciadas pelo cliente. O espaço de trabalho mantém-se encriptado usando chaves Microsoft Managed.

Monitorização

Pode acompanhar pedidos de configuração de encriptação para os seus espaços de trabalho Fabric através de registos de auditoria. Os seguintes nomes de operação são usados em logs de auditoria:

• ApplyWorkspaceEncryption
• DisableWorkspaceEncryption
• GetWorkspaceEncryption

Considerações e limitações

Antes de configurar o seu espaço de trabalho Fabric com uma chave gerida pelo cliente, considere as seguintes limitações:

• Os seguintes dados não estão protegidos com chaves geridas pelo cliente:

  • Nomes de colunas do Lakehouse, formato de tabela, compressão de tabelas.
  • Todos os dados armazenados nos Clusters Spark (dados armazenados em discos temporários como parte de shuffle, vazamentos de dados ou caches RDD numa aplicação Spark) não estão protegidos. Isto inclui todos os Trabalhos Spark de Cadernos, Definições de Trabalhos Spark, Lakehouses, Trabalhos de Carga e Manutenção da Tabela Lakehouse, Transformações de Atalho, Atualização da Vista Materializada do Fabric.
  • Os registos de tarefas armazenados no servidor de histórico
  • Bibliotecas ligadas a ambientes ou adicionadas como parte da personalização da sessão Spark usando comandos mágicos não estão protegidas
  • Metadados gerados ao criar uma tarefa de Pipeline e de Cópia, como nome do banco de dados, tabela, esquema
  • Metadados do modelo e experimento de ML, como o nome do modelo, versão, métricas
  • Consultas de armazém no Objeto explorado e cache de back-end, que é removido após cada uso

• CMK é suportado em todos os F SKUs. As capacidades de teste não podem ser usadas para encriptação usando CMK.

• Podes ativar o CMK para espaços de trabalho alojados em capacidades BYOK. As mesmas chaves ou chaves separadas podem ser usadas para proteger tanto os itens num espaço de trabalho com CMK como os modelos semânticos que residem na capacidade BYOK. (pré-visualização)

• O CMK pode ser ativado usando o portal Fabric e não tem suporte para API.

• A CMK pode ser habilitada e desabilitada para o espaço de trabalho enquanto a configuração de criptografia no nível do locatário estiver ativada. Depois que a configuração de locatário estiver desativada, você não poderá mais habilitar a CMK para espaços de trabalho nesse locatário ou desabilitar a CMK para espaços de trabalho que já tenham a CMK ativada nesse locatário. Os dados em espaços de trabalho que ativaram o CMK antes de a definição do inquilino ter sido desativada permanecem encriptados com a chave gerida pelo cliente. Mantenha a chave associada ativa para poder desempacotar dados nesse espaço de trabalho.

Conteúdo relacionado

• Fundamentos de segurança

• Licenças Microsoft Fabric