Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esto se aplica a:✅ Almacén en Microsoft Fabric
Fabric Data Warehouse cifra todos los datos en reposo de forma predeterminada, lo que garantiza que la información está protegida mediante claves administradas por Microsoft.
Además, puede mejorar la posición de seguridad mediante claves administradas por el cliente (CMK), lo que le proporciona control directo sobre las claves de cifrado que protegen los datos y los metadatos.
Al habilitar CMK para un área de trabajo que contiene un almacenamiento de datos de Fabric, los metadatos de almacenamiento y datos de OneLake se protegen mediante las claves de cifrado hospedadas en Azure Key Vault. Con las claves administradas por el cliente, puede conectar el área de trabajo de Fabric directamente a su propia instancia de Azure Key Vault. Mantiene un control completo sobre la creación, el acceso y la rotación de claves, lo que garantiza el cumplimiento de las directivas de seguridad y gobernanza de su organización.
Para empezar a configurar CMK para el área de trabajo de Fabric, consulte Claves administradas por el cliente para áreas de trabajo de Fabric.
Funcionamiento del cifrado de datos en Fabric Data Warehouse
Fabric Data Warehouse sigue un modelo de cifrado de varias capas para asegurarse de que los datos permanecen protegidos en reposo y transitorios en uso.
Front-end de SQL: Cifra los metadatos (tablas, vistas, funciones, procedimientos almacenados).
Grupo de proceso de back-end: Usa cachés efímeras; no se deja ningún dato en reposo.
OneLake: Todos los datos persistentes se cifran.
Cifrado de capa de front-end de SQL
Cuando CMK está habilitado para el área de trabajo, Fabric Data Warehouse también usa la clave administrada por el cliente para cifrar metadatos como definiciones de tabla, procedimientos almacenados, funciones e información de esquema.
Esto garantiza que tanto sus datos en OneLake como los metadatos que contienen datos personales en el almacenamiento estén cifrados con su propia clave.
Cifrado de capa de grupo de cómputo de back-end
El back-end de computación de Fabric procesa consultas en un entorno efímero y basado en caché. Nunca se deja ningún dato en reposo en estas memorias caché. Dado que Fabric Warehouse expulsa todo el contenido de caché de back-end después del uso, los datos transitorios nunca se conservan más allá de la duración de la sesión.
Debido a su naturaleza de corta duración, las memorias caché de back-end solo se cifran con claves administradas por Microsoft y no están sujetas al cifrado por CMK, por motivos de rendimiento. Las cachés de back-end se borran y regeneran automáticamente como parte de las operaciones de proceso normales.
Cifrado de capa OneLake
Todos los datos almacenados en OneLake se cifran en reposo mediante claves administradas por Microsoft de forma predeterminada.
Cuando CMK está habilitado, la clave administrada por el cliente (almacenada en Azure Key Vault) se usa para cifrar las claves de cifrado de datos (DEK), lo que proporciona un sobre adicional de protección. Mantiene el control sobre la rotación de claves, las directivas de acceso y la auditoría.
Importante
En las áreas de trabajo habilitadas para CMK, todos los datos de OneLake se cifran mediante las claves administradas por el cliente.
Limitaciones
Antes de habilitar CMK para Fabric Data Warehouse, revise las consideraciones siguientes:
Retraso de propagación de claves: cuando se gira, actualiza o reemplaza una clave en Azure Key Vault, puede haber un retraso de propagación antes de la capa SQL de Fabric. En determinadas condiciones, este retraso puede tardar hasta 20 minutos antes de que las conexiones SQL se vuelvan a establecer con la nueva clave.
Almacenamiento en caché de back-end: los datos procesados por el grupo de procesos de back-end de Fabric no se cifran con CMK en reposo debido a su naturaleza en memoria de corta duración. Fabric expulsa automáticamente los datos almacenados en caché después de cada uso.
Disponibilidad del servicio durante la revocación de claves: si la CMK deja de estar accesible o revocada, las operaciones de lectura y escritura en el área de trabajo producirán un error hasta que se restaure el acceso a la clave.
Compatibilidad con DMV: dado que la configuración de CMK se establece y se configura en el nivel de área de trabajo, no se puede usar
sys.dm_database_encryption_keyspara ver el estado de cifrado de la base de datos; esto sucede exclusivamente en el nivel de área de trabajo.Restricciones de firewall: CMK no se admite cuando el firewall de Azure Key Vault está habilitado.
Las consultas en el editor de consultas del portal de Fabric no se cifran con CMK.