Condividi tramite

Chiavi gestite dal cliente per aree di lavoro Fabric

Microsoft Fabric crittografa tutti i dati inattivi utilizzando chiavi gestite da Microsoft. Con le chiavi gestite dal cliente per le aree di lavoro Fabric, è possibile usare le chiavi Azure Key Vault per aggiungere un altro livello di protezione ai dati nelle aree di lavoro Microsoft Fabric, inclusi tutti i dati in OneLake. Una chiave gestita dal cliente offre una maggiore flessibilità, consentendo di gestire la rotazione, controllare l'accesso e il controllo dell'utilizzo. Aiuta anche le organizzazioni a soddisfare le esigenze di governance dei dati e a rispettare gli standard di protezione e crittografia dei dati.

Funzionamento delle chiavi gestite dal cliente

Tutti gli archivi dati Fabric vengono crittografati inattivi con chiavi gestite da Microsoft. Le chiavi gestite dal cliente usano la crittografia envelope, in cui una chiave di crittografia della chiave (KEK) crittografa una chiave DEK (Data Encryption Key). Quando si usano chiavi gestite dal cliente, la chiave DEK gestita Microsoft crittografa i dati e quindi la chiave DEK viene crittografata usando la chiave kek gestita dal cliente. L'uso di una chiave kek che non lascia mai Key Vault consente di crittografare e controllare le chiavi di crittografia dei dati stesse. In questo modo, tutti i contenuti dei clienti in un'area di lavoro abilitata per le chiavi gestite dal cliente vengono crittografati.

Abilitare la crittografia con chiavi gestite dal cliente per l'area di lavoro

Gli amministratori dell'area di lavoro possono configurare la crittografia a livello di area di lavoro usando una CMK (Customer Managed Key). Quando l'amministratore dell'area di lavoro abilita l'impostazione nel portale, tutto il contenuto dei clienti archiviato in quell'area di lavoro viene crittografato utilizzando la CMK specificata. CmK si integra con i criteri di accesso di AKV e il controllo degli accessi in base al ruolo, consentendo di definire autorizzazioni granulari in base al modello di sicurezza dell'organizzazione. Se si sceglie di disabilitare la crittografia cmk in un secondo momento, l'area di lavoro ripristina l'uso di chiavi gestite da Microsoft. È anche possibile revocare la chiave in qualsiasi momento e l'accesso ai dati crittografati viene bloccato entro un'ora di revoca. Con la granularità e il controllo a livello di area di lavoro, è possibile elevare la sicurezza dei dati in Fabric.

Elementi supportati

Le chiavi gestite dal cliente sono attualmente supportate per gli elementi Fabric seguenti:

  • Lakehouse
  • Magazzino
  • Notebook
  • Ambiente
  • Definizione del job Spark
  • API per l'interfaccia GraphQL
  • Modello ML
  • Esperimento
  • Pipeline
  • Flusso di dati
  • Soluzioni di settore
  • SQL Database
  • Eventhouse (anteprima)

Questa funzionalità non può essere abilitata per un'area di lavoro che contiene elementi non supportati. Quando la crittografia della chiave gestita dal cliente per un'area di lavoro Fabric è abilitata, solo gli elementi supportati possono essere creati in tale area di lavoro. Per usare elementi non supportati, crearli in un'area di lavoro diversa che non dispone di questa funzionalità abilitata.

Configurare la crittografia con chiavi gestite dal cliente per l'area di lavoro

La chiave gestita dal cliente per le aree di lavoro Fabric richiede una configurazione iniziale. Questa configurazione include l'abilitazione dell'impostazione del tenant di crittografia Fabric, la configurazione di Azure Key Vault e la concessione dell'accesso dell'app CMK Fabric Platform a Azure Key Vault. Al termine dell'installazione, un utente con un ruolo area di lavoroamministratore può abilitare la funzionalità nell'area di lavoro.

Passaggio 1: Abilitare l'impostazione del tenant di Fabric

Un amministratore Fabric deve assicurarsi che l'impostazione Apply per le chiavi gestite dal cliente sia abilitata. Per altre informazioni, vedere l'articolo Impostazione del tenant di crittografia .

Passaggio 2: Creare un principale del servizio per l'app CMK della piattaforma Fabric

Fabric usa l'app Fabric Platform CMK per accedere al Azure Key Vault. Affinché l'app funzioni, è necessario creare un'entità servizio per il tenant. Questo processo viene eseguito da un utente con privilegi di Microsoft Entra ID, ad esempio un Cloud Application Administrator.

Seguire le istruzioni in Creare un'applicazione aziendale da un'applicazione multi-tenant in Microsoft Entra ID per creare un'entità servizio per un'applicazione denominata Fabric Platform CMK con app ID 61d6811f-7544-4e75-a1e6-1c59c0383311 nel tenant Microsoft Entra ID.

Passaggio 3: Configurare Azure Key Vault

È necessario configurare il Key Vault in modo che Fabric possa accedervi. Questo passaggio viene eseguito da un utente con privilegi di Key Vault, ad esempio un amministratore Key Vault Administrator. Per altre informazioni, vedere i ruoli di sicurezza di Azure.

  1. Aprire il portale di Azure e passare al Key Vault. Se non si dispone di Key Vault, seguire le istruzioni riportate in Creare un key vault usando il portale di Azure.

  2. Nel Key Vault configurare le impostazioni seguenti:

  3. Nel Key Vault aprire il controllo Access (IAM).

  4. Nell'elenco a discesa Aggiungi selezionare Aggiungi assegnazione di ruolo.

  5. Selezionare la scheda Membri e quindi fare clic su Seleziona membri.

  6. Nel riquadro Selezionare i membri cercare Fabric Platform CMK

  7. Selezionare l'app Fabric Platform CMK e quindi Select.

  8. Selezionare la scheda Role e cercare Key Vault Crypto Service Encryption User o un ruolo che abilita le autorizzazioni get, wrapkey e unwrap key.

  9. Selezionare Utente del servizio di crittografia di Key Vault.

  10. Selezionare Rivedi e assegna e quindi rivedi e assegna per confermare la scelta.

Passaggio 4: Creare una chiave Azure Key Vault

Per creare una chiave di Azure Key Vault, seguire le istruzioni riportate in Creare un insieme di credenziali delle chiavi usando il portale di Azure.

requisiti di Key Vault

Fabric supporta solo chiavi senza versione gestite dal cliente, che sono chiavi nel formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} per Cassaforti e https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} per HSM gestiti. Fabric controlla ogni giorno il Key Vault per verificarne una nuova versione e utilizza la più recente disponibile. Per evitare di avere un periodo in cui non è possibile accedere ai dati nell'area di lavoro dopo la creazione di una nuova chiave, attendere 24 ore prima di disabilitare la versione precedente.

Key Vault e il modulo di protezione hardware gestito devono avere abilitate sia la cancellazione reversibile che la protezione dalla distruzione definitiva, e la chiave deve essere di tipo RSA o RSA-HSM. Le dimensioni delle chiavi supportate sono:

  • 2.048 bit
  • 3.072 bit
  • 4.096 bit

Per altre informazioni, vedere Informazioni sulle chiavi.

Annotazioni

Le chiavi a 4.096 bit non sono supportate per il database SQL in Microsoft Fabric.

È anche possibile usare Azure Key Vault per cui è abilitata l'impostazione firewall. Quando si disabilita l'accesso pubblico al Key Vault, è possibile scegliere l'opzione "Consenti ai servizi di Microsoft attendibili di ignorare questo firewall".

Passaggio 5: Abilitare la crittografia usando chiavi gestite dal cliente

Dopo aver completato i prerequisiti, seguire i passaggi descritti in questa sezione per abilitare le chiavi gestite dal cliente nell'area di lavoro Fabric.

  1. Nell'area di lavoro Fabric, selezionare Impostazioni dell'area di lavoro.

  2. Nel riquadro Impostazioni area di lavoro selezionare Crittografia.

  3. Abilitare Applica chiavi gestite dal cliente.

  4. Nel campo Identificatore chiave immettere l'identificatore di chiave gestito dal cliente.

  5. Selezionare Applica.

Dopo aver completato questi passaggi, l'area di lavoro viene crittografata con una chiave gestita dal cliente. Ciò significa che tutti i dati in OneLake vengono crittografati e che gli elementi esistenti e futuri nell'area di lavoro vengono crittografati dalla chiave gestita dal cliente usata per la configurazione. È possibile esaminare lo stato di crittografia Attivo, In corso o Non riuscito nella scheda Crittografia nelle impostazioni dell'area di lavoro. Anche gli elementi per i quali la crittografia è in corso o non è riuscita sono elencati categoricamente. La chiave deve rimanere attiva nel Key Vault mentre la crittografia è in corso (Stato: in corso). Aggiornare la pagina per visualizzare lo stato di crittografia più recente. Se la crittografia non è riuscita per alcuni elementi nell'area di lavoro, è possibile riprovare a usare una chiave diversa.

Revocare l'accesso

Per revocare l'accesso ai dati in un'area di lavoro crittografata usando una chiave gestita dal cliente, revocare la chiave nel Azure Key Vault. Entro 60 minuti dal momento in cui la chiave viene revocata, le chiamate di lettura e scrittura all'area di lavoro hanno esito negativo.

È possibile revocare una chiave di crittografia gestita dal cliente modificando i criteri di accesso, modificando le autorizzazioni nell'insieme di credenziali delle chiavi o eliminando la chiave.

Per ripristinare l'accesso, ripristinare l'accesso alla chiave gestita dal cliente nel Key Vault.

Annotazioni

L'area di lavoro non riconvalida automaticamente la chiave per il database SQL in Microsoft Fabric. È invece necessario riconvalidare manualmente il CMK per ripristinare l'accesso.

Disabilitare la crittografia

Per disabilitare la crittografia dell'area di lavoro usando una chiave gestita dal cliente, passare a Impostazioni dell'area di lavoro disabilitare Applica chiavi gestite dal cliente. L'area di lavoro rimane crittografata usando Microsoft chiavi gestite.

Annotazioni

Non è possibile disabilitare le chiavi gestite dal cliente mentre è in corso la crittografia per uno degli elementi Fabric nell'area di lavoro.

Monitoraggio

È possibile tenere traccia delle richieste di configurazione della crittografia per le aree di lavoro Fabric in base alle voci del log di controllo. I nomi delle operazioni seguenti vengono usati nei log di controllo:

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Considerazioni e limitazioni

Prima di configurare l'area di lavoro Fabric con una chiave gestita dal cliente, considerare le limitazioni seguenti:

  • I dati seguenti non sono protetti con chiavi gestite dal cliente:

    • Nomi delle colonne del lakehouse, formato delle tabelle, compressione delle tabelle.
    • Tutti i dati archiviati nei cluster Spark (i dati memorizzati su dischi temporanei come parte di operazioni di shuffle, paging o cache RDD in un'applicazione Spark) non sono protetti. Sono inclusi tutti i processi Spark da notebook, Lakehouses, definizioni di processi Spark, processi di caricamento delle tabelle Lakehouse e manutenzione, trasformazioni di collegamento shortcut, aggiornamento della vista materializzata di Fabric.
    • Log dei processi archiviati nel server di cronologia
    • Le librerie collegate come parte degli ambienti o aggiunte come parte della personalizzazione della sessione Spark tramite i comandi magic non sono protette
    • Metadati generati durante la creazione di un processo pipeline e copia, ad esempio nome del database, tabella, schema
    • Metadati del modello e dell'esperimento di Machine Learning, ad esempio il nome del modello, la versione, le metriche
    • Query di warehouse su Oggetti esplorati e cache back-end, che vengono rimosse dopo ogni utilizzo

  • CmK è supportato in tutti gli SKU F. Le capacità di prova non possono essere utilizzate per la crittografia tramite CMK (Chiave Master del Cliente).

  • È possibile attivare cmk per le aree di lavoro ospitate nelle capacità BYOK. Le stesse chiavi o chiavi separate possono essere usate per proteggere entrambi gli elementi in un'area di lavoro abilitata per CMK e modelli semantici che risiedono nella capacità di BYOK. (anteprima)

  • La CMK (chiave gestita dal cliente) può essere abilitata usando il portale di Fabric e non è supportata dalle API.

  • La chiave gestita dal cliente può essere attivata e disattivata per l'area di lavoro mentre l'impostazione di crittografia a livello di tenant è attivata. Dopo aver disattivato l'impostazione del tenant, non è più possibile abilitare CMK per le aree di lavoro in tale tenant o disabilitare CMK per le aree di lavoro che dispongono già di CMK attivata in tale tenant. I dati nelle aree di lavoro che hanno abilitato cmk prima della disattivazione dell'impostazione del tenant rimangono crittografati con la chiave gestita dal cliente. Mantenere attiva la chiave associata per essere in grado di decifrare i dati in quella area di lavoro.

Contenuti correlati

  • Last updated on