Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Van toepassing op:✅ Warehouse in Microsoft Fabric
Fabric Data Warehouse versleutelt standaard alle data-at-rest, zodat uw gegevens worden beveiligd via door Microsoft beheerde sleutels.
Daarnaast kunt u uw beveiligingspostuur verbeteren met behulp van door de klant beheerde sleutels (CMK), zodat u direct controle hebt over de versleutelingssleutels die uw gegevens en metagegevens beschermen.
Wanneer u CMK inschakelt voor een werkruimte die een Fabric Data Warehouse bevat, worden zowel OneLake-gegevens als metagegevens van het magazijn beveiligd met behulp van uw door Azure Key Vault gehoste versleutelingssleutels. Met door de klant beheerde sleutels kunt u uw Fabric-werkruimte rechtstreeks verbinden met uw eigen Azure Key Vault. U behoudt volledige controle over het maken, openen en rouleren van sleutels, zodat u voldoet aan het beveiligings- en governancebeleid van uw organisatie.
Zie Door de klant beheerde sleutels voor Fabric-werkruimten om te beginnen met het configureren van CMK voor uw Fabric-werkruimten.
Hoe gegevensversleuteling werkt in Fabric Data Warehouse
Fabric Data Warehouse volgt een versleutelingsmodel met meerdere lagen om ervoor te zorgen dat uw gegevens beschermd blijven, zowel in rust als tijdens gebruik.
SQL-front-end: Hiermee worden metagegevens versleuteld (tabellen, weergaven, functies, opgeslagen procedures).
Back-end-rekengroep: Maakt gebruik van tijdelijke caches; er worden geen gegevens in rust gelaten.
OneLake: Alle persistente gegevens worden versleuteld.
Versleuteling van front-endlaag van SQL
Wanneer CMK is ingeschakeld voor de werkruimte, gebruikt Fabric Data Warehouse ook uw door de klant beheerde sleutel om metagegevens zoals tabeldefinities, opgeslagen procedures, functies en schemagegevens te versleutelen.
Dit zorgt ervoor dat zowel uw gegevens in OneLake als persoonlijke metagegevens in het magazijn worden versleuteld met uw eigen sleutel.
Versleuteling van de back-end-rekengroeplaag
De compute-back-end van fabric verwerkt query's in een kortstondige, op cache gebaseerde omgeving. Er worden nooit gegevens in rust gelaten in deze caches. Omdat Fabric Warehouse alle back-endcache-inhoud na gebruik verwijdert, blijven tijdelijke gegevens nooit langer dan de sessielevensduur behouden.
Vanwege hun korte levensduur worden back-endcaches alleen versleuteld met door Microsoft beheerde sleutels en zijn ze om prestatieredenen niet onderhevig aan versleuteling door CMK. Back-endcaches worden automatisch gewist en opnieuw gegenereerd als onderdeel van normale rekenbewerkingen.
OneLake-laagversleuteling
Alle gegevens die in OneLake zijn opgeslagen, worden standaard versleuteld met door Microsoft beheerde sleutels.
Wanneer CMK is ingeschakeld, wordt uw door de klant beheerde sleutel (opgeslagen in Azure Key Vault) gebruikt om de gegevensversleutelingssleutels (DEK's) te versleutelen, waardoor er een extra envelop met beveiliging wordt geboden. U behoudt de controle over sleutelrotatie, toegangsbeleid en controle.
Belangrijk
In werkruimten met CMK-functionaliteit worden alle OneLake-gegevens versleuteld met behulp van uw door de klant beheerde sleutels.
Beperkingen
Bekijk de volgende overwegingen voordat u CMK inschakelt voor uw Fabric Data Warehouse:
Vertraging van sleuteldoorgifte: wanneer een sleutel wordt gedraaid, bijgewerkt of vervangen in Azure Key Vault, kan er een doorgiftevertraging optreden voordat de SQL-laag van Fabric wordt uitgevoerd. In bepaalde omstandigheden kan deze vertraging tot 20 minuten duren voordat SQL-verbindingen opnieuw tot stand worden gebracht met de nieuwe sleutel.
Backend caching: gegevens die worden verwerkt door de backend-rekengroep van Fabric, worden niet versleuteld met CMK at rest vanwege hun kortstondige, in-memory karakter. Fabric verwijdert automatisch gegevens in de cache na elk gebruik.
Servicebeschikbaarheid tijdens het intrekken van sleutels: als de CMK niet meer toegankelijk of ingetrokken is, mislukken lees- en schrijfbewerkingen in de werkruimte totdat de toegang tot de sleutel is hersteld.
DMV-ondersteuning: Omdat de CMK-configuratie is ingesteld en geconfigureerd op werkruimteniveau, kunt u de versleutelingsstatus van de database niet weergeven
sys.dm_database_encryption_keys. Dit gebeurt uitsluitend op werkruimteniveau.Firewallbeperkingen: CMK wordt niet ondersteund wanneer de Azure Key Vault-firewall is ingeschakeld.
Query's in de objectverkenner van de Fabric-portalquery-editor worden niet versleuteld met CMK.