Protección del tráfico entrante
El tráfico entrante es el tráfico que entra en Fabric desde Internet. En este artículo se explican las diferencias entre las dos maneras de proteger el tráfico entrante en Microsoft Fabric., vínculos privados y Acceso condicional de Entra Use este artículo para decidir qué método es mejor para su organización.
Vínculos privados (Opción 1, Vnet del cliente): Fabric usa una dirección IP privada de la red virtual. El punto de conexión permite a los usuarios de la red comunicarse con Fabric a través de la dirección IP privada mediante vínculos privados.
Acceso condicional de Entra (Opción 2, usuario): el momento en que un usuario autentica el acceso se determina en función de un conjunto de directivas que pueden incluir la dirección IP, la ubicación y los dispositivos administrados.
Una vez que el tráfico entra en Fabric, se autentica mediante Microsoft Entra ID, que es el mismo método de autenticación que usa Microsoft 365, OneDrive y Dynamics 365. La autenticación de Microsoft Entra ID permite a los usuarios conectarse de forma segura a las aplicaciones en la nube desde cualquier dispositivo y cualquier red, ya sea en casa, de forma remota o en la oficina de su empresa.
La plataforma de back-end de Fabric está protegida por una red virtual y no se puede acceder a ella directamente desde la red pública de Internet de otra forma que no sea a través de puntos de conexión seguros. Para comprender cómo se protege el tráfico en Fabric, consulte el diagrama de arquitectura de Fabric.
De manera predeterminada, Fabric se comunica entre experiencias mediante la red troncal interna de Microsoft. Cuando un informe de Power BI carga datos de OneLake, los datos pasan por la red interna de Microsoft. Esta configuración no es lo mismo que tener que configurar varios servicios de plataforma como servicio (PaaS) para conectarse entre sí a través de una red privada. La comunicación entrante entre clientes, como el navegador o SQL Server Management Studio (SSMS) y Fabric, usa el protocolo TLS 1.2 y negocia con TLS 1.3 siempre que sea posible.
La configuración de seguridad predeterminada de Fabric incluye lo siguiente:
Microsoft Entra ID que se usa para autenticar todas las solicitudes.
Cuando la autenticación se realiza correctamente, las solicitudes se enrutan al servicio de back-end adecuado a través de puntos de conexión administrados de Microsoft seguros.
El tráfico interno entre experiencias en Fabric se enruta a través de la red troncal de Microsoft.
El tráfico entre clientes y Fabric se cifra mediante al menos el protocolo Seguridad de la capa de transporte (TLS) 1.2.
Acceso condicional de Entra
Cada interacción con Fabric se autentica con Microsoft Entra ID. Microsoft Entra ID se basa en el modelo de seguridad de Confianza cero, que asume que no está totalmente protegido dentro del perímetro de la red de la organización. En lugar de examinar la red como límite de seguridad, Confianza cero examina la identidad como perímetro principal para la seguridad.
Para determinar el acceso en el momento de la autenticación, puede definir y aplicar directivas de acceso condicional en función de la identidad, el contexto de dispositivo, la ubicación, la red y la confidencialidad de la aplicación de los usuarios. Por ejemplo, puede requerir autenticación multifactor, cumplimiento de dispositivos o aplicaciones aprobadas para acceder a los datos y recursos de Fabric. También puede bloquear o limitar el acceso desde ubicaciones, dispositivos o redes de riesgo.
Las directivas de acceso condicional le ayudan a proteger los datos y las aplicaciones sin poner en peligro la productividad y la experiencia del usuario. Estos son algunos ejemplos de restricciones de acceso que puede aplicar mediante el acceso condicional.
Definir una lista de direcciones IP para la conectividad entrante a Fabric.
Usar la autenticación multifactor (MFA).
Restringir el tráfico en función de parámetros como el país de origen o el tipo de dispositivo.
Fabric no admite otros métodos de autenticación, como claves de cuenta o autenticación de SQL, que se basan en nombres de usuario y contraseñas.
Configurar el acceso condicional
Para configurar el acceso condicional en Fabric, debe seleccionar varios servicios de Azure relacionados con Fabric, como Power BI, Azure Data Explorer, Azure SQL Database y Azure Storage.
Nota:
El acceso condicional se puede considerar demasiado amplio para algunos clientes, ya que cualquier directiva se aplicará a Fabric y a los servicios de Azure relacionados.
Licencias
El acceso condicional requiere licencias de Microsoft Entra ID P1. Estas licencias suelen estar ya disponibles en su organización porque se comparten con otros productos de Microsoft, como Microsoft 365. Si quiere encontrar la licencia adecuada para sus requisitos, consulte Requisitos de licencia.
Acceso de confianza
Fabric no necesita residir en la red privada, ni cuando tiene los datos almacenados dentro de una. Con los servicios de PaaS, es habitual poner el proceso en la misma red privada que la cuenta de almacenamiento. Sin embargo, con Fabric no es necesario. Para habilitar el acceso de confianza a Fabric, puede usar características como las puertas de enlace de datos locales, el acceso al área de trabajo de confianza y los puntos de conexión privados administrados. Para obtener más información, consulte Seguridad en Microsoft Fabric.
Vínculos privados
Con los puntos de conexión privados, se asigna al servicio una dirección IP privada de la red virtual. El punto de conexión permite que otros recursos de la red se comuniquen con el servicio a través de la dirección IP privada.
Con los vínculos privados, un túnel del servicio en una de las subredes crea un canal privado. La comunicación desde dispositivos externos viaja desde su dirección IP a un punto de conexión privado de esa subred, a través del túnel y del servicio.
Después de implementar vínculos privados, ya no se tiene acceso a Fabric a través de la red pública de Internet. Para acceder a Fabric, todos los usuarios tienen que conectarse a través de la red privada. La red privada es necesaria para todas las comunicaciones con Fabric, incluida la visualización de un informe de Power BI en el navegador y el uso de SQL Server Management Studio (SSMS) para conectarse a una cadena de conexión de SQL, como <guid_unique_your_item>.datawarehouse.fabric.microsoft.com
.
Redes locales
Si usa redes en el entorno local, puede ampliarlas a Azure Virtual Network (VNet) mediante un circuito de ExpressRoute o una VPN de sitio a sitio para acceder a Fabric con conexiones privadas.
Ancho de banda
Con los vínculos privados, todo el tráfico a Fabric viaja a través del punto de conexión privado, lo que provoca posibles problemas de ancho de banda. Los usuarios ya no pueden cargar recursos no relacionados con datos distribuidos globales, como archivos .css y .html de imágenes que usa Fabric, desde su región. Estos recursos se cargan desde la ubicación del punto de conexión privado. Por ejemplo, para los usuarios australianos con un punto de conexión privado de EE. UU., el tráfico viaja primero a EE. UU. Esto aumenta los tiempos de carga y puede reducir el rendimiento.
Costos
El costo de los vínculos privados y el aumento del ancho de banda de ExpressRoute para permitir la conectividad privada desde la red podrían agregar costos a su organización.
Consideraciones y limitaciones
Con los vínculos privados, está bloqueando a Fabric a la red pública de Internet. Como resultado, hay muchas consideraciones y limitaciones que debe tener en cuenta.