Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Fabric proporciona varias capas de protección de red entrante para ayudar a las organizaciones a controlar dónde pueden originarse las conexiones entrantes al acceder a elementos y datos. Estas funcionalidades permiten a los administradores de inquilinos y a los administradores del área de trabajo aplicar límites de red, restringir el acceso público y enrutar las conexiones entrantes a través de canales privados seguros. En este artículo se proporciona información general sobre todas las opciones de protección de entrada, cómo se relacionan entre sí e instrucciones para elegir la configuración adecuada para su entorno.
Descripción general de las características de protección de entrada
Fabric proporciona protección de entrada en dos ámbitos:
Protección de entrada de nivel de inquilino: los administradores de inquilinos configuran estas opciones, que se aplican en todas las áreas de trabajo del inquilino de Fabric. Incluyen características como Private Link de nivel de inquilino y directivas de acceso condicional de Microsoft Entra que restringen dónde pueden originarse las conexiones entrantes.
Protección de entrada a nivel de espacio de trabajo: los administradores de espacios de trabajo configuran estas opciones, que se aplican a espacios de trabajo individuales. Incluyen reglas de firewall de IP del área de trabajo y Private Link de nivel de área de trabajo que permiten a los administradores definir límites de red específicos para sus áreas de trabajo.
Al combinar características de protección de entrada de nivel de inquilino y de área de trabajo, las organizaciones pueden crear un enfoque de seguridad en capas que cumpla sus requisitos de control de acceso específicos. En las secciones siguientes se proporcionan más detalles sobre cada característica y cómo interactúan.
Protección de entrada de nivel de inquilino
Los administradores de inquilinos pueden configurar controles de entrada que se aplican a cada área de trabajo a menos que se invaliden mediante la configuración específica del área de trabajo.
- Private Link de nivel de inquilino: enruta todas las conexiones entrantes a los recursos de Fabric a través de Azure Private Link, lo que garantiza que el tráfico se origina en redes virtuales aprobadas.
- Acceso condicional de Microsoft Entra: aplica directivas de acceso basadas en identidades que pueden restringir las conexiones entrantes en función de la ubicación del usuario, el cumplimiento de dispositivos y otros factores.
- Etiquetas de servicio: permite o bloquea el tráfico entrante de servicios específicos de Azure mediante etiquetas de servicio predefinidas.
- Habilitar reglas de entrada a nivel de espacio de trabajo: la configuración del arrendatario Configurar reglas de red de entrada a nivel de espacio de trabajo permite o impide que los administradores del espacio de trabajo restrinjan el acceso público a nivel de espacio de trabajo. De forma predeterminada, los administradores del área de trabajo no pueden restringir el acceso público entrante a menos que el administrador de inquilinos habilite esta configuración. Cuando está habilitada, los administradores del área de trabajo pueden aplicar restricciones de entrada de nivel de área de trabajo, incluidos los vínculos privados, lo que proporciona a las organizaciones una segmentación de red más detallada.
Estas características de nivel de inquilino proporcionan amplias protecciones que ayudan a proteger todas las áreas de trabajo del inquilino. Sin embargo, la configuración de nivel de área de trabajo puede complementarlas para un control más específico.
Protección de entrada a nivel de área de trabajo
Los administradores del área de trabajo pueden aplicar controles de seguridad de entrada más específicos cuando el inquilino los permite.
Enlace privado del área de trabajo: permite que un área de trabajo establezca un punto de conexión privado en Azure, garantizando que las conexiones entrantes solo se originen en redes aprobadas.
Protección de acceso entrante del espacio de trabajo: cuando el inquilino habilita reglas de nivel de espacio de trabajo, los administradores del espacio de trabajo pueden alternar la opción de Restringir el acceso público. Seleccione esta opción para bloquear las conexiones entrantes públicas y requerir acceso entrante a través de redes privadas aprobadas.
Firewall de IP del área de trabajo: los administradores pueden configurar reglas de firewall de IP del área de trabajo para especificar qué intervalos IP pueden acceder a los elementos del área de trabajo. Esta característica complementa el vínculo privado habilitando listas de permitidos pormenorizadas.
Estas capas pueden funcionar de forma independiente o conjunta, en función de las necesidades de la organización.
Interacción de la configuración de seguridad de red
Comprender cómo interactúan los valores de nivel de inquilino y de área de trabajo es esencial para configurar el acceso entrante seguro. En la tabla siguiente se muestra cómo afectan las configuraciones de red al acceso al portal de Fabric y a las API REST.
Los administradores de inquilinos solo pueden restringir el acceso público cuando los vínculos privados de nivel de inquilino están habilitados.
Tabla 1: Acceso al portal de Fabric en función de la configuración de red
| Configuración de acceso público de nivel de inquilino | Acceso desde | ¿Puedo acceder al portal de Fabric? | ¿Puedo acceder a las API rest de Fabric? |
|---|---|---|---|
| Permitida | Red pública de Internet | Sí | Sí, con api.fabric.microsoft.com |
| Permitida | Red con enlace privado de inquilino | Sí | Sí, con el FQDN específico del inquilino |
| Permitida | Red con enlace privado del espacio de trabajo | Sí | Sí, utilizando el FQDN específico del espacio de trabajo |
| Permitida | IP permitida | Sí | Sí, con api.fabric.microsoft.com |
| Restringido | Red pública de Internet | No | No |
| Restringido | Red con enlace privado de cliente | Sí | Sí, mediante el FQDN específico para el inquilino o el endpoint de api.fabric.microsoft.com, y solo si el cliente permite el acceso público saliente. |
| Restringido | Red con enlace privado del espacio de trabajo | No | Sí, utilizando el FQDN específico del espacio de trabajo |
| Restringido | Dirección IP pública permitida a nivel de espacio de trabajo | No | Sí, con api.fabric.microsoft.com |
| Restringido | Red con enlace privado de inquilino y enlace privado de espacio de trabajo | Sí | Sí, con api.fabric.microsoft.com |
Consideraciones de planificación para la protección entrante
Al planear la protección de entrada para el entorno de Fabric, tenga en cuenta los siguientes factores:
- Debe ser administrador de Fabric para habilitar las reglas de entrada de nivel de inquilino.
- Las características de nivel de área de trabajo dependen de la configuración del inquilino.
- Private Link requiere la configuración de Azure.
- El firewall de IP permite un control pormenorizado, pero requiere un planeamiento de IP cuidadoso.
- Considere si un modelo centralizado o controlado por áreas de trabajo se adapta mejor a su entorno.
Pasos siguientes
- Más información sobre [Protección de acceso entrante del área de trabajo].
- Obtenga más información sobre la protección de acceso saliente del área de trabajo para comprender el modelo de red completo.
- Revise la configuración de Private Link en los niveles de inquilino y área de trabajo.
- Continúe con los artículos de escenarios para obtener instrucciones detalladas sobre la configuración.