Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:✅ Хранилище данных в Microsoft Fabric
Хранилище данных Fabric шифрует все неактивные данные по умолчанию, обеспечивая защиту информации с помощью ключей, управляемых Корпорацией Майкрософт.
Кроме того, вы можете повысить уровень безопасности с помощью ключей, управляемых клиентом (CMK), предоставляя прямой контроль над ключами шифрования, которые защищают данные и метаданные.
Если включить CMK для рабочей области, содержащей хранилище данных Fabric, данные OneLake и метаданные хранилища защищаются с помощью ключей шифрования, размещенных в Azure Key Vault. С помощью ключей, управляемых клиентом, вы можете подключить рабочую область Fabric непосредственно к собственному Хранилищу ключей Azure. Вы обеспечиваете полный контроль над созданием ключей, доступом и сменой, обеспечивая соответствие политикам безопасности и управления вашей организации.
Чтобы приступить к настройке CMK для рабочей области Fabric, ознакомьтесь с ключами, управляемыми клиентом для рабочих областей Fabric.
Принцип работы шифрования данных в хранилище данных Fabric
Хранилище данных Fabric использует многоуровневую модель шифрования, чтобы гарантировать защиту ваших данных в состоянии покоя и в процессе использования.
Интерфейс SQL: Шифрует метаданные (таблицы, представления, функции, хранимые процедуры).
Пул серверных вычислений: Использует временные кэши; данные не сохраняются в постоянном хранилище.
OneLake: Все сохраненные данные шифруются.
Шифрование внешнего слоя SQL
Если cmK включен для рабочей области, хранилище данных Fabric также использует управляемый клиентом ключ для шифрования метаданных, таких как определения таблиц, хранимые процедуры, функции и сведения о схеме.
Это гарантирует, что ваши данные в OneLake и метаданные, содержащие личные данные в хранилище, шифруются вашим собственным ключом.
Шифрование уровня внутреннего пула вычислений
Серверная часть вычислений Fabric обрабатывает запросы в эфемерной среде на основе кэша. Данные никогда не остаются в этих кэшах. Так как хранилище Fabric удаляет все содержимое внутреннего кэша после использования, временные данные никогда не сохраняются за пределами времени существования сеанса.
Из-за их кратковременной природы внутренние кэши шифруются только с помощью ключей, управляемых корпорацией Майкрософт, и не подвергаются шифрованию с помощью CMK по соображениям производительности. Внутренние кэши автоматически очищаются и повторно создаются в рамках обычных вычислительных операций.
Шифрование слоя OneLake
Все данные, хранящиеся в OneLake, по умолчанию шифруются в состоянии покоя с помощью ключей, управляемых корпорацией Майкрософт.
Если cmK включен, ключ, управляемый клиентом (хранящийся в Azure Key Vault), используется для шифрования ключей шифрования данных (DEKS), предоставляя дополнительный конверт защиты. Вы управляете поворотом ключей, политиками доступа и аудитом.
Это важно
В рабочих областях с поддержкой CMK все данные OneLake шифруются с помощью ключей, управляемых клиентом.
Ограничения
Прежде чем включить CMK для хранилища данных Fabric, ознакомьтесь со следующими рекомендациями.
Задержка распространения ключей: при смене, обновлении или замене ключа в Azure Key Vault может быть задержка распространения до уровня SQL Fabric. В определенных условиях эта задержка может занять до 20 минут до повторного создания подключений SQL с новым ключом.
Кэширование задней части: данные, обрабатываемые пулом вычислений на стороне сервера Fabric, не шифруются с помощью CMK для данных на диске из-за их краткосрочного хранения в памяти. Структура автоматически вытесняет кэшированные данные после каждого использования.
Доступность службы во время отзыва ключей: если CMK становится недоступным или отозванным, операции чтения и записи в рабочей области завершаются ошибкой, пока не будет восстановлен доступ к ключу.
Поддержка dmV: так как конфигурация CMK установлена и настроена на уровне рабочей области, нельзя использовать
sys.dm_database_encryption_keysдля просмотра состояния шифрования базы данных. Это происходит исключительно на уровне рабочей области.Ограничения брандмауэра: CMK не поддерживается при включении брандмауэра Azure Key Vault.
Запросы в редакторе запросов Object Explorer портала Fabric не шифруются с помощью CMK.