Seguridad en Microsoft Fabric
Microsoft Fabric es una plataforma de software como servicio (SaaS) que permite a los usuarios obtener, crear, compartir y visualizar datos.
Como servicio SaaS, Fabric ofrece un paquete de seguridad completo para toda la plataforma. Fabric elimina el costo y la responsabilidad de mantener la solución de seguridad y la transfiere a la nube. Con Fabric, puede usar la experiencia y los recursos de Microsoft para mantener los datos seguros, aplicar revisiones a vulnerabilidades, supervisar amenazas y cumplir la normativa. Fabric también le permite administrar, controlar y auditar la configuración de seguridad, en función de las necesidades y demandas cambiantes.
A medida que lleva los datos a la nube y los usa con diversas experiencias de análisis, como Power BI, Data Factory y la próxima generación de Synapse, Microsoft garantiza que las características integradas de seguridad y confiabilidad protejan los datos en reposo y en tránsito. Microsoft también garantiza que los datos se puedan recuperar en casos de errores de infraestructura o desastres.
La seguridad de Fabric es:
Siempre activa: todas las interacciones con Fabric se encriptan de manera predeterminada y se autentican mediante Microsoft Entra ID. Toda la comunicación entre las experiencias de Fabric viaja a través de la red troncal de Internet de Microsoft. Los datos en reposo se almacenan automáticamente cifrados. Para regular el acceso a Fabric, puede agregar características de seguridad adicionales, como los vínculos privados o el acceso condicional de Entra. Fabric también puede conectarse a los datos protegidos por un servidor de seguridad o una red privada mediante el acceso de confianza.
Conforme: Fabric tiene soberanía de datos lista para usar con capacidades multigeográficas. Fabric también admite una amplia gama de estándares de cumplimiento.
Controlable: Fabric incluye un conjunto de herramientas de gobernanza, como linaje de datos, etiquetas de protección de información, prevención de pérdida de datos e integración de Purview.
Configurable: puede configurar la seguridad de Fabric de acuerdo con las directivas de la organización.
Evolutiva: Microsoft está constantemente mejorando la seguridad de Fabric mediante la incorporación de nuevas características y controles.
Autenticar
Microsoft Fabric es una plataforma de SaaS, al igual que muchos otros servicios de Microsoft, como Azure, Microsoft Office, OneDrive y Dynamics. Todos estos servicios SaaS de Microsoft, incluido Fabric, usan Microsoft Entra ID como proveedor de identidades basado en la nube. Microsoft Entra ID ayuda a los usuarios a conectarse a estos servicios de forma rápida y sencilla desde cualquier dispositivo y cualquier red. Todas las solicitudes para conectarse a Fabric se autentican con Microsoft Entra ID, lo que permite a los usuarios conectarse de forma segura a Fabric desde su oficina corporativa, cuando trabajan en casa o desde una ubicación remota.
Conocimientos sobre la seguridad de red
Fabric es un servicio SaaS que se ejecuta en la nube de Microsoft. Algunos escenarios implican conectarse a datos que están fuera de la plataforma Fabric. Por ejemplo, ver un informe desde su propia red o conectarse a datos que se encuentra en otro servicio. Las interacciones dentro de Fabric usan la red interna de Microsoft y el tráfico fuera del servicio está protegido de forma predeterminada. Para obtener más información y una descripción detallada, vea Datos en tránsito.
Seguridad de red de entrada
Es posible que su organización quiera restringir y proteger el tráfico de red que entra en Fabric en función de los requisitos de su organización. Con el acceso condicional de Microsoft Entra ID y los vínculos privados, puede seleccionar la solución de entrada adecuada para su organización.
Acceso condicional de Microsoft Entra ID
Microsoft Entra ID proporciona acceso condicional a Fabric, lo que le permite proteger el acceso a Fabric en todas las conexiones. Estos son algunos ejemplos de restricciones de acceso que puede aplicar mediante el acceso condicional.
Definir una lista de direcciones IP para la conectividad entrante a Fabric.
Usar la autenticación multifactor (MFA).
Restringir el tráfico en función de parámetros como el país de origen o el tipo de dispositivo.
Para configurar el acceso condicional, consulta Acceso condicional en Fabric.
Para obtener más información sobre la autenticación en Fabric, consulte Aspectos básicos de seguridad de Microsoft Fabric.
Vínculos privados
Los vínculos privados permiten la conectividad segura a Fabric al restringir el acceso al inquilino de Fabric desde una red virtual (VNet) de Azure y bloquear todo el acceso público. Esto garantiza que solo el tráfico de red de esa VNet pueda acceder a características de Fabric, como los cuadernos, los almacenes de lagos y los almacenamientos de datos, del inquilino.
Para configurar vínculos privados en Fabric, consulte Configurar y usar vínculos privados.
Seguridad de red saliente
Fabric tiene un conjunto de herramientas que permiten conectarse a orígenes de datos externos y llevar esos datos a Fabric de forma segura. En esta sección se enumeran diferentes formas de importar y conectarse a datos de una red segura en Fabric.
Acceso al área de trabajo de confianza
Con Fabric, puede acceder a cuentas de Azure Data Lake Gen2 habilitadas para servidores de seguridad de forma segura. Las áreas de trabajo de Fabric que tienen una identidad de área de trabajo pueden acceder de forma segura a cuentas de Azure Data Lake Gen2 con el acceso de red pública habilitado desde redes virtuales y direcciones IP seleccionadas. Puede limitar el acceso de ADLS Gen2 a áreas de trabajo de Fabric específicas. Para obtener más información, consulte Acceso al área de trabajo de confianza.
Puntos de conexión privados administrados
Los puntos de conexión privados administrados permiten conexiones seguras a los orígenes de datos, como bases de datos de Azure SQL, sin exponerlos a la red pública ni necesitar configuraciones de red complejas.
Redes virtuales administradas
Las redes virtuales administradas son redes virtuales creadas y administradas por Microsoft Fabric para cada área de trabajo de Fabric. Las redes virtuales administradas proporcionan aislamiento de red para las cargas de trabajo Spark de Fabric, lo que significa que los clústeres de proceso se implementan en una red dedicada y ya no forman parte de la red virtual compartida.
Las redes virtuales administradas también permiten características de seguridad de red como puntos de conexión privados administrados y compatibilidad con vínculos privados para elementos de Ingeniería de datos y Ciencia de datos de Microsoft Fabric que usan Apache Spark.
Puerta de enlace de datos
Para conectarse a orígenes de datos en el entorno local o a un origen de datos que podría estar protegido mediante un servidor de seguridad o una red virtual, puede usar una de estas opciones:
Puerta de enlace de datos local: la puerta de enlace actúa como puente entre los orígenes de datos locales y Fabric. La puerta de enlace se instala en un servidor dentro de la red y permite a Fabric conectarse a los orígenes de datos a través de un canal seguro sin necesidad de abrir puertos ni realizar cambios en la red.
Puerta de enlace de datos de red virtual (VNet): la puerta de enlace de datos de red virtual te permite conectarte desde Servicios en la nube de Microsoft a tus servicios de datos de Azure dentro de una red virtual sin la necesidad de una puerta de enlace de datos local.
Conexión a OneLake desde un servicio existente
Puede conectarse a Fabric mediante el servicio de Plataforma como servicio (PaaS) de Azure existente. Para Synapse y Azure Data Factory (ADF), puede usar Azure Integration Runtime (IR) o una red virtual administrada de Azure Data Factory. También puede conectarse a estos servicios y a otros, como flujos de datos de asignación, clústeres de Spark de Synapse, clústeres de Spark de Databricks y Azure HDInsight mediante API de OneLake.
Etiqueta de servicio de Azure
Use Etiquetas de servicio para ingerir datos sin usar puertas de enlace de datos, desde orígenes de datos implementados en una red virtual de Azure, como Azure SQL Virtual Machines (VM), Azure SQL Managed Instance (MI) y las API REST. También puede usar etiquetas de servicio para obtener tráfico desde una red virtual o un firewall de Azure. Por ejemplo, las etiquetas de servicio pueden permitir el tráfico saliente a Fabric para que un usuario de una máquina virtual pueda conectarse a los puntos de conexión SQL de Fabric desde SSMS, mientras se bloquea el acceso a otros recursos públicos de Internet.
Lista de direcciones IP permitidas
Si tiene datos que no residen en Azure, puede habilitar una lista de direcciones IP permitidas en la red de la organización para permitir el tráfico hacia y desde Fabric. Una lista de direcciones IP permitidas es útil si necesita obtener datos de orígenes de datos que no admiten etiquetas de servicio, como orígenes de datos locales. Con estos accesos directos, puede obtener datos sin copiarlos en OneLake mediante un punto de conexión SQL de Lakehouse o Direct Lake.
Puede obtener la lista de direcciones IP de Fabric desde etiquetas de servicio locales. La lista está disponible como un archivo JSON o mediante programación con las API REST, PowerShell y la lnterfaz de la línea de comandos (CLI) de Azure.
Protección de los datos
En Fabric, todos los datos almacenados en OneLake se cifran en reposo. Todos los datos en reposo se almacenan en la región principal, o bien en una de las capacidades en una región remota de su elección para que pueda cumploir las normativas de soberanía de datos en reposo. Para más información, vea Aspectos básicos de la seguridad de Microsoft Fabric.
Descripción de los inquilinos en varias zonas geográficas
Algunas organizaciones tienen una presencia global y necesitan servicios en varias zonas geográficas de Azure. Por ejemplo, una empresa puede tener su sede en Estados Unidos, pero también hacer negocios en otras zonas geográficas, como Australia. Para cumplir con la normativa local, las empresas con presencia global necesitan asegurarse de que los datos permanecen almacenados en reposo en varias regiones. En Fabric, esto se denomina Multi-Geo.
La capa de ejecución de consultas, las memorias caché de consultas y los datos de elementos asignados a un área de trabajo multigeográfica permanecen en la zona geográfica de Azure donde se crean. Sin embargo, algunos metadatos y procesamiento de datos se almacenan en reposo en la geografía principal del inquilino.
Fabric es parte de un ecosistema más amplio de Microsoft. Si su organización ya está usando otros servicios de suscripción en la nube, como Azure, Microsoft 365 o Dynamics 365, entonces Fabric opera dentro del mismo inquilino Microsoft Entra. El dominio de la organización (por ejemplo, contoso.com) está asociado a Microsoft Entra ID. Al igual que todos los servicios en la nube de Microsoft.
Fabric garantiza que los datos estén protegidos entre regiones cuando se trabaja con varios inquilinos que tienen varias capacidades en una serie de zonas geográficas.
Separación lógica de datos: la plataforma Fabric proporciona aislamiento lógico entre inquilinos para proteger los datos.
Soberanía de datos: para empezar a trabajar con varias regiones geográficas, vea Configuración de la compatibilidad multigeográfica con Fabric.
Acceso a los datos
Fabric controla el acceso a los datos mediante áreas de trabajo. En las áreas de trabajo, los datos aparecen en forma de elementos de Fabric y los usuarios no pueden ver ni usar elementos (datos) a menos que les conceda acceso al área de trabajo. Encontrará más información sobre los permisos para áreas de trabajo y elementos, en el modelo Permiso.
Roles de área de trabajo
El acceso al área de trabajo se muestra en la tabla siguiente. Incluye roles de área de trabajo y seguridad de Fabric y OneLake. Los usuarios con un rol de visor pueden ejecutar consultas de SQL, Data Analysis Expressions (DAX) o Expresiones multidimensionales (MDX), pero no pueden acceder a elementos de Fabric ni ejecutar un cuaderno.
| Role | Acceso al área de trabajo | Acceso a OneLake |
|---|---|---|
| Administrador, miembro y colaborador | Puede usar todos los elementos del área de trabajo | 
|
| Espectador | Puede ver todos los elementos del área de trabajo | 
|
Compartir elementos
Puede compartir elementos de Fabric con usuarios de la organización que no tengan ningún rol de área de trabajo. El uso compartido de elementos proporciona acceso restringido, lo que permite a los usuarios acceder solo al elemento compartido en el área de trabajo.
Limitación del acceso
Puede limitar el acceso del visor a los datos mediante la seguridad de nivel de fila (RLS), la seguridad de nivel de columna (CLS) y la seguridad de nivel de objeto (OLS). Con RLS, CLS y OLS, puede crear identidades de usuario que tengan acceso a determinadas partes de los datos y limitar los resultados de SQL que se devuelven solo a lo que pueda acceder la identidad del usuario.
También puede agregar RLS a un conjunto de datos de DirectLake. Si define la seguridad para SQL y DAX, DirectLake recurre a DirectQuery para las tablas que tienen RLS en SQL. En esos casos, los resultados de DAX o MDX se limitan a la identidad del usuario.
Para exponer informes mediante un conjunto de datos de DirectLake con RLS sin reserva de DirectQuery, use compartir conjunto de datos directos o aplicaciones en Power BI. Con las aplicaciones en Power BI, puede conceder acceso a informes sin acceso de visor. Este tipo de acceso significa que los usuarios no pueden utilizar SQL. Para permitir que DirectLake lea los datos, debe cambiar la credencial del origen de datos de Inicio de sesión único (SSO) a una identidad fija que tenga acceso a los archivos del lago.
Protección de datos
Fabric admite etiquetas de confidencialidad de Microsoft Purview Information Protection. Estas etiquetas, como General, Confidencial y Extremadamente confidencial, se usan ampliamente en aplicaciones de Microsoft Office como Word, PowerPoint y Excel para proteger información confidencial. En Fabric, puedes clasificar elementos que contienen datos confidenciales con estas mismas etiquetas de confidencialidad. A continuación, las etiquetas de confidencialidad siguen automáticamente los datos del elemento al elemento a medida que fluye a través de Fabric, desde el origen de datos hasta el usuario empresarial. La etiqueta de confidencialidad sigue incluso cuando los datos se exportan a formatos admitidos, como PBIX, Excel, PowerPoint y PDF, lo que garantiza que los datos permanecen protegidos. Solo los usuarios autorizados pueden abrir el archivo. Para obtener más información, consulta Gobernanza y cumplimiento en Microsoft Fabric.
Para ayudarlo a administrar, proteger y controlar las políticas de datos, puede usar Microsoft Purview. Microsoft Purview y Fabric funcionan conjuntamente, lo que le permite almacenar, analizar y controlar los datos desde una sola ubicación, el centro de Microsoft Purview.
Recuperar datos
La resistencia de los datos de Fabric garantiza que los datos estén disponibles si se produce un desastre. Fabric también le permite recuperar los datos en caso de desastre, recuperación ante desastres. Para obtener más información, consulte Confiabilidad en Microsoft Fabric.
Administrar Fabric
Como administrador de Fabric, podrá controlar las funcionalidades de toda la organización. Fabric permite la delegación del rol de administrador a capacidades, áreas de trabajo y dominios. Al delegar responsabilidades de administrador a las personas adecuadas, puede implementar un modelo que permita a varios administradores clave controlar la configuración general de Fabric en toda la organización, mientras que otros administradores están a cargo de la configuración relacionada con áreas específicas.
Con diversas herramientas, los administradores también pueden supervisar aspectos clave de Fabric, como el consumo de capacidad. También puede ver los registros de auditoría para supervisar las actividades del usuario e investigar incidentes inesperados si es necesario.
Funcionalidades
Revise esta sección para obtener una lista de algunas de las características de seguridad disponibles en Microsoft Fabric.
| Funcionalidad | Descripción |
|---|---|
| Acceso condicional | Protección de las aplicaciones mediante Microsoft Entra ID |
| Caja de seguridad | Control de cómo los ingenieros de Microsoft acceden a los datos |
| Seguridad de Fabric y OneLake | Más información sobre cómo proteger los datos en Fabric y OneLake. |
| Resistencia | Confiabilidad y resistencia regional con zonas de disponibilidad de Azure |
| Etiquetas de servicio | Habilitación de Azure SQL Managed Instance (MI) para permitir conexiones entrantes desde Microsoft Fabric |
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de