Aspectos básicos de seguridad de Microsoft Fabric

En este artículo se presenta una perspectiva general de la arquitectura de seguridad de Microsoft Fabric mediante la descripción de cómo funcionan los flujos de seguridad principales del sistema. También se describe cómo se autentican los usuarios con Fabric, cómo se establecen las conexiones de datos y cómo Fabric almacena y mueve los datos a través del servicio.

Este artículo está dirigido principalmente a los administradores de Fabric responsables de supervisar Fabric en la organización. También es relevante para las partes interesadas de la seguridad empresarial, que incluyen administradores de seguridad, administradores de red, administradores de Azure, administradores de áreas de trabajo y administradores de bases de datos.

Plataforma Fabric

Microsoft Fabric es una solución de análisis todo en uno para empresas que abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis en tiempo real y la inteligencia empresarial (BI). La plataforma Fabric consta de una serie de servicios y componentes de infraestructura que admiten la funcionalidad común para todas las experiencias de Fabric. De forma combinada, ofrecen un conjunto completo de experiencias de análisis diseñadas para trabajar conjuntamente sin problemas. Las experiencias incluyen Lakehouse, Data Factory, Synapse Data Engineering, Synapse Data Warehouse y Power BI, entre otras.

Con Fabric, no es necesario agrupar diferentes servicios de varios proveedores. En su lugar, puede disfrutar de un producto muy integrado, de un extremo a otro y fácil de usar diseñado para simplificar las necesidades de análisis. Fabric se diseñó desde el principio para proteger los recursos confidenciales.

La plataforma Fabric se basa en una base de software como servicio (SaaS), que ofrece confiabilidad, simplicidad y escalabilidad. Se basa en Azure, que es la plataforma informática en la nube pública de Microsoft. Tradicionalmente, muchos productos de datos han sido plataforma como servicio (PaaS), lo que requiere que un administrador del servicio configure la seguridad, el cumplimiento y la gobernanza para cada servicio. Dado que Fabric es un servicio SaaS, muchas de estas características están integradas en la plataforma SaaS y no requieren ninguna configuración o configuración mínima.

Diagrama de arquitectura

En el diagrama arquitectónico siguiente se muestra una representación de alto nivel de la arquitectura de seguridad de Fabric.

En el diagrama se muestra una representación general de la arquitectura de seguridad de Fabric.

En el diagrama arquitectónico se describen los conceptos siguientes.

  1. Un usuario usa un explorador o una aplicación cliente, como Power BI Desktop, para conectarse al servicio Fabric.

  2. La autenticación se controla mediante Microsoft Entra ID (anteriormente conocido como Azure Active Directory), el servicio de administración de identidad y acceso basado en la nube que autentica al usuario o entidad de servicio y administra el acceso a Fabric.

  3. El front-end web recibe solicitudes de usuario y facilita el inicio de sesión. También enruta las solicitudes y proporciona contenido front-end al usuario.

  4. La plataforma de metadatos almacena los metadatos del inquilino, que pueden incluir datos del cliente. Los servicios de Fabric consultan esta plataforma a petición para recuperar la información de autorización y autorizar y validar las solicitudes de usuario. Se encuentra en la región principal del inquilino.

  5. La plataforma de capacidad de back-end es responsable de las operaciones de proceso y del almacenamiento de datos del cliente, y se encuentra en la región de capacidad. Aprovecha los servicios principales de Azure en esa región según sea necesario para experiencias específicas de Fabric.

Los servicios de infraestructura de la plataforma Fabric son multiinquilino. Hay aislamiento lógico entre inquilinos. Estos servicios no procesan entradas complejas de usuario y todas están escritas en código administrado. Los servicios de plataforma nunca ejecutan ningún código escrito por el usuario.

La plataforma de metadatos y la plataforma de capacidad de back-end se ejecutan en redes virtuales protegidas. Estas redes exponen una serie de puntos de conexión seguros a Internet para que puedan recibir solicitudes de clientes y otros servicios. Además de estos puntos de conexión, los servicios están protegidos por reglas de seguridad de red que bloquean el acceso desde la red pública de Internet. La comunicación dentro de las redes virtuales también está restringida en función del privilegio de cada servicio interno.

La capa de aplicación garantiza que los inquilinos solo puedan acceder a los datos desde su propio inquilino.

Autenticación

Fabric se basa en Microsoft Entra ID para autenticar a los usuarios (o entidades de servicio). Cuando se autentica, los usuarios reciben tokens de acceso de Microsoft Entra ID. Fabric usa estos tokens para realizar operaciones en el contexto del usuario.

El acceso condicional es una característica clave de Microsoft Entra ID. El acceso condicional garantiza que los inquilinos sean seguros mediante la aplicación de la autenticación multifactor, lo que permite que solo los dispositivos inscritos en Microsoft Intune accedan a servicios específicos. El acceso condicional también restringe las ubicaciones de usuario y los intervalos IP.

Authorization

La plataforma de metadatos almacena centralmente todos los permisos de Fabric. Los servicios de Fabric consultan la plataforma de metadatos a petición para recuperar la información de autorización y autorizar y validar las solicitudes de usuario.

Por motivos de rendimiento, Fabric a veces encapsula la información de autorización en tokens firmados. Los tokens firmados solo se emiten mediante la plataforma de capacidad de back-end e incluyen el token de acceso, la información de autorización y otros metadatos.

Residencia de datos

En Fabric, un inquilino se asigna a un clúster de plataformas de metadatos principal, que se encuentra en una sola región que cumple los requisitos de residencia de datos de la geografía de esa región. Los metadatos del inquilino, que pueden incluir datos del cliente, se almacenan en este clúster.

Los clientes pueden controlar dónde se encuentran sus áreas de trabajo. Pueden optar por localizar sus áreas de trabajo en la misma geografía que su clúster de plataforma de metadatos, ya sea explícitamente asignando sus áreas de trabajo a las capacidades de esa región o implícitamente mediante el uso de los modos de licencia de prueba de Fabric, Power BI Pro o Power BI Premium por usuario. En este último caso, todos los datos del cliente se almacenan y procesan en esta única geografía. Para obtener más información, consulte Conceptos y licencias de Microsoft Fabric.

Los clientes también pueden crear capacidades multigeográficas ubicadas en zonas geográficas (geos) distintas de su región principal. En este caso, el proceso y el almacenamiento (incluido OneLake y el almacenamiento específico de la experiencia) se encuentran en la región multigeográfica, pero los metadatos del inquilino permanecen en la región principal. Los datos del cliente solo se almacenarán y procesarán en estas dos zonas geográficas. Para obtener más información, consulta Configuración de la compatibilidad multigeográfica con Fabric.

Manejo de datos

En esta sección se proporciona información general sobre cómo funciona el control de datos en Fabric. Describe el almacenamiento, el procesamiento y el movimiento de los datos del cliente.

Datos en reposo

Todos los datos guardados de Fabric se cifran en reposo mediante claves administradas por Microsoft. Los datos de Fabric incluyen datos de clientes, así como datos del sistema y metadatos.

Aunque los datos se pueden procesar en memoria en un estado sin cifrar, nunca se conserva en el almacenamiento permanente mientras se encuentran en un estado sin cifrar.

Datos en tránsito

Los datos en tránsito entre servicios Microsoft siempre se cifran con al menos TLS 1.2. Fabric negocia TLS 1.3 siempre que sea posible. El tráfico entre servicios Microsoft siempre se enruta a través de la red global de Microsoft.

La comunicación entrante de Fabric también aplica TLS 1.2 y negocia con TLS 1.3, siempre que sea posible. La comunicación saliente de Fabric con la infraestructura propiedad del cliente prefiere protocolos seguros, pero podría recurrir a protocolos antiguos y no seguros (incluido TLS 1.0) cuando no se admitan protocolos más recientes.

Telemetría

La telemetría se usa para mantener el rendimiento y la confiabilidad de la plataforma Fabric. El almacén de telemetría de la plataforma Fabric está diseñado para ser compatible con los datos y los reglamentos de privacidad para los clientes de todas las regiones en las que Fabric está disponible, incluida la Unión Europea (UE). Para obtener más información, consulte Servicios del límite de datos de la UE.

OneLake

OneLake es un lago de datos único, unificado y lógico para toda la organización y se aprovisiona automáticamente para cada inquilino de Fabric. Está basado en Azure y puede almacenar cualquier tipo de archivo, tanto estructurado como no estructurado. Todos los elementos de Fabric, como almacenes y almacenes de lago de datos, almacenan sus datos automáticamente en OneLake.

OneLake admite las mismas API y SDK de Azure Data Lake Storage Gen2 (ADLS Gen2), por lo que son compatibles con las aplicaciones existentes de ADLS Gen2, incluido Azure Databricks.

Para más información, vea Seguridad de Fabric y OneLake.

Seguridad del área de trabajo

Las áreas de trabajo representan el límite de seguridad principal de los datos almacenados en OneLake. Cada área de trabajo representa un único dominio o área de proyecto donde los equipos pueden colaborar en los datos. Para administrar la seguridad en el área de trabajo se asignan usuarios a roles de área de trabajo.

Para más información, vea Seguridad de Fabric y OneLake (seguridad del área de trabajo).

Seguridad del elemento

Dentro de un área de trabajo, puede asignar permisos directamente a elementos de Fabric, como almacenes y almacenes de lago. La seguridad de los elementos proporciona la flexibilidad de conceder acceso a un elemento de Fabric individual sin tener que conceder acceso a toda el área de trabajo. Los usuarios pueden configurar permisos por elemento mediante el uso compartido de un elemento o mediante la administración de los permisos de un elemento.

Recursos de cumplimiento

El servicio Fabric se rige por los términos de Microsoft Online Services y la Declaración de privacidad de Microsoft Enterprise.

Para conocer la ubicación del procesamiento de datos, consulte los términos de Ubicación del procesamiento de datos en los Términos de Microsoft Online Services y en el Anexo de protección de datos.

Para obtener información de cumplimiento, el Centro de confianza de Microsoft es el principal recurso para Fabric. Para obtener más información sobre el cumplimiento, consulte las ofertas de cumplimiento de Microsoft.

El servicio Fabric sigue el ciclo de vida de desarrollo de seguridad (SDL), que consiste en un conjunto de prácticas de seguridad estrictas que admiten los requisitos de cumplimiento y garantía de seguridad. La SDL ayuda a los desarrolladores a crear software más seguro reduciendo el número y la gravedad de las vulnerabilidades del software, al tiempo que se reducen los costes de desarrollo. Para obtener más información, consulte las Prácticas del Ciclo de vida de desarrollo de seguridad de Microsoft.

Para obtener más información acerca de la seguridad de Fabric, consulte los siguientes recursos: