Seguridad en Microsoft Fabric

Microsoft Fabric es una plataforma de software como servicio (SaaS) que permite a los usuarios obtener, crear, compartir y visualizar datos.

Como servicio SaaS, Fabric ofrece un paquete de seguridad completo para toda la plataforma. Fabric elimina el costo y la responsabilidad de mantener la solución de seguridad y la transfiere a la nube. Con Fabric, puede usar la experiencia y los recursos de Microsoft para mantener los datos seguros, aplicar revisiones a vulnerabilidades, supervisar amenazas y cumplir la normativa. Fabric también le permite administrar, controlar y auditar la configuración de seguridad, en función de las necesidades y demandas cambiantes.

A medida que lleva los datos a la nube y los usa con diversas experiencias de análisis, como Power BI, Data Factory y la próxima generación de Synapse, Microsoft garantiza que las características integradas de seguridad y confiabilidad protejan los datos en reposo y en tránsito. Microsoft también garantiza que los datos se puedan recuperar en casos de errores de infraestructura o desastres.

La seguridad de Fabric es:

  • Siempre activa: todas las interacciones con Fabric se encriptan de manera predeterminada y se autentican mediante Microsoft Entra ID. Toda la comunicación entre las experiencias de Fabric viaja a través de la red troncal de Internet de Microsoft. Los datos en reposo se almacenan automáticamente cifrados. Para regular el acceso a Fabric, puede agregar características de seguridad adicionales, como los vínculos privados o el acceso condicional de Entra. Fabric también puede conectarse a los datos protegidos por un servidor de seguridad o una red privada mediante el acceso de confianza.

  • Conforme: Fabric tiene soberanía de datos lista para usar con capacidades multigeográficas. Fabric también admite una amplia gama de estándares de cumplimiento.

  • Controlable: Fabric incluye un conjunto de herramientas de gobernanza, como linaje de datos, etiquetas de protección de información, prevención de pérdida de datos e integración de Purview.

  • Configurable: puede configurar la seguridad de Fabric de acuerdo con las directivas de la organización.

  • Evolutiva: Microsoft está constantemente mejorando la seguridad de Fabric mediante la incorporación de nuevas características y controles.

Authenticate

Microsoft Fabric es una plataforma de SaaS, al igual que muchos otros servicios de Microsoft, como Azure, Microsoft Office, OneDrive y Dynamics. Todos estos servicios SaaS de Microsoft, incluido Fabric, usan Microsoft Entra ID como proveedor de identidades basado en la nube. Microsoft Entra ID ayuda a los usuarios a conectarse a estos servicios de forma rápida y sencilla desde cualquier dispositivo y cualquier red. Todas las solicitudes para conectarse a Fabric se autentican con Microsoft Entra ID, lo que permite a los usuarios conectarse de forma segura a Fabric desde su oficina corporativa, cuando trabajan en casa o desde una ubicación remota.

Conocimientos sobre la seguridad de red

Fabric es un servicio SaaS que se ejecuta en la nube de Microsoft. Algunos escenarios implican conectarse a datos que están fuera de la plataforma Fabric. Por ejemplo, ver un informe desde su propia red o conectarse a datos que se encuentra en otro servicio. Las interacciones dentro de Fabric usan la red interna de Microsoft y el tráfico fuera del servicio está protegido de forma predeterminada. Para obtener más información y una descripción detallada, vea Datos en tránsito.

Seguridad de red de entrada

Es posible que su organización quiera restringir y proteger el tráfico de red que entra en Fabric en función de los requisitos de su organización. Con el acceso condicional de Microsoft Entra ID y los vínculos privados, puede seleccionar la solución de entrada adecuada para su organización.

Acceso condicional de Microsoft Entra ID

Microsoft Entra ID proporciona acceso condicional a Fabric, lo que le permite proteger el acceso a Fabric en todas las conexiones. Estos son algunos ejemplos de restricciones de acceso que puede aplicar mediante el acceso condicional.

  • Definir una lista de direcciones IP para la conectividad entrante a Fabric.

  • Usar la autenticación multifactor (MFA).

  • Restringir el tráfico en función de parámetros como el país de origen o el tipo de dispositivo.

Para configurar el acceso condicional, consulta Acceso condicional en Fabric.

Para obtener más información sobre la autenticación en Fabric, consulte Aspectos básicos de seguridad de Microsoft Fabric.

Los vínculos privados permiten la conectividad segura a Fabric al restringir el acceso al inquilino de Fabric desde una red virtual (VNet) de Azure y bloquear todo el acceso público. Esto garantiza que solo el tráfico de red de esa VNet pueda acceder a características de Fabric, como los cuadernos, los almacenes de lagos y los almacenamientos de datos, del inquilino.

Para configurar vínculos privados en Fabric, consulte Configurar y usar vínculos privados.

Seguridad de red saliente

Fabric tiene un conjunto de herramientas que permiten conectarse a orígenes de datos externos y llevar esos datos a Fabric de forma segura. En esta sección se enumeran diferentes formas de importar y conectarse a datos de una red segura en Fabric.

Acceso al área de trabajo de confianza

Con Fabric, puede acceder a cuentas de Azure Data Lake Gen2 habilitadas para servidores de seguridad de forma segura. Las áreas de trabajo de Fabric que tienen una identidad de área de trabajo pueden acceder de forma segura a cuentas de Azure Data Lake Gen2 con el acceso de red pública habilitado desde redes virtuales y direcciones IP seleccionadas. Puede limitar el acceso de ADLS Gen2 a áreas de trabajo de Fabric específicas. Para obtener más información, consulte Acceso al área de trabajo de confianza.

Nota:

Las identidades del área de trabajo de Fabric solo se pueden crear en áreas de trabajo asociadas a una capacidad de SKU de Fabric F. Para obtener información sobre cómo comprar una suscripción de Fabric, vea Compra de una suscripción de Microsoft Fabric.

Puntos de conexión privados administrados

Los puntos de conexión privados administrados permiten conexiones seguras a los orígenes de datos, como bases de datos de Azure SQL, sin exponerlos a la red pública ni necesitar configuraciones de red complejas.

Redes virtuales administradas

Las redes virtuales administradas son redes virtuales creadas y administradas por Microsoft Fabric para cada área de trabajo de Fabric. Las redes virtuales administradas proporcionan aislamiento de red para las cargas de trabajo Spark de Fabric, lo que significa que los clústeres de proceso se implementan en una red dedicada y ya no forman parte de la red virtual compartida.

Las redes virtuales administradas también permiten características de seguridad de red como puntos de conexión privados administrados y compatibilidad con vínculos privados para elementos de Ingeniería de datos y Ciencia de datos de Microsoft Fabric que usan Apache Spark.

Puerta de enlace de datos

Para conectarse a orígenes de datos en el entorno local o a un origen de datos que podría estar protegido mediante un servidor de seguridad o una red virtual, puede usar una de estas opciones:

  • Puerta de enlace de datos local: la puerta de enlace actúa como puente entre los orígenes de datos locales y Fabric. La puerta de enlace se instala en un servidor dentro de la red y permite a Fabric conectarse a los orígenes de datos a través de un canal seguro sin necesidad de abrir puertos ni realizar cambios en la red.

  • Puerta de enlace de datos de red virtual (VNet): la puerta de enlace de datos de red virtual te permite conectarte desde Servicios en la nube de Microsoft a tus servicios de datos de Azure dentro de una red virtual sin la necesidad de una puerta de enlace de datos local.

Conexión a OneLake desde un servicio existente

Puede conectarse a Fabric mediante el servicio de Plataforma como servicio (PaaS) de Azure existente. Para Synapse y Azure Data Factory (ADF), puede usar Azure Integration Runtime (IR) o una red virtual administrada de Azure Data Factory. También puede conectarse a estos servicios y a otros, como flujos de datos de asignación, clústeres de Spark de Synapse, clústeres de Spark de Databricks y Azure HDInsight mediante API de OneLake.

Etiqueta de servicio de Azure

Use Etiquetas de servicio para ingerir datos sin usar puertas de enlace de datos, desde orígenes de datos implementados en una red virtual de Azure, como Azure SQL Virtual Machines (VM), Azure SQL Managed Instance (MI) y las API REST. También puede usar etiquetas de servicio para obtener tráfico desde una red virtual o un firewall de Azure. Por ejemplo, las etiquetas de servicio pueden permitir el tráfico saliente a Fabric para que un usuario de una VM pueda conectarse a las cadenas de conexión SQL de Fabric desde SSMS, mientras se bloquea el acceso a otros recursos públicos de Internet.

Lista de direcciones IP permitidas

Si tiene datos que no residen en Azure, puede habilitar una lista de direcciones IP permitidas en la red de la organización para permitir el tráfico hacia y desde Fabric. Una lista de direcciones IP permitidas es útil si necesita obtener datos de orígenes de datos que no admiten etiquetas de servicio, como orígenes de datos locales. Con estos accesos directos, puede obtener datos sin copiarlos en OneLake mediante un punto de conexión SQL Analytics del almacén de lago o Direct Lake.

Puede obtener la lista de direcciones IP de Fabric desde etiquetas de servicio locales. La lista está disponible como un archivo JSON o mediante programación con las API REST, PowerShell y la Interfaz de la línea de comandos (CLI) de Azure.

Protección de los datos

En Fabric, todos los datos almacenados en OneLake se cifran en reposo. Todos los datos en reposo se almacenan en la región principal, o bien en una de las capacidades en una región remota de su elección para que pueda cumplir las normativas de soberanía de datos en reposo. Para más información, vea Aspectos básicos de la seguridad de Microsoft Fabric.

Descripción de los inquilinos en varias zonas geográficas

Algunas organizaciones tienen una presencia global y necesitan servicios en varias zonas geográficas de Azure. Por ejemplo, una empresa puede tener su sede en Estados Unidos, pero también hacer negocios en otras zonas geográficas, como Australia. Para cumplir con la normativa local, las empresas con presencia global necesitan asegurarse de que los datos permanecen almacenados en reposo en varias regiones. En Fabric, esto se denomina Multi-Geo.

La capa de ejecución de consultas, las memorias caché de consultas y los datos de elementos asignados a un área de trabajo multigeográfica permanecen en la zona geográfica de Azure donde se crean. Sin embargo, algunos metadatos y procesamiento de datos se almacenan en reposo en la geografía principal del inquilino.

Fabric es parte de un ecosistema más amplio de Microsoft. Si su organización ya está usando otros servicios de suscripción en la nube, como Azure, Microsoft 365 o Dynamics 365, entonces Fabric opera dentro del mismo inquilino Microsoft Entra. El dominio de la organización (por ejemplo, contoso.com) está asociado a Microsoft Entra ID. Al igual que todos los servicios en la nube de Microsoft.

Fabric garantiza que los datos estén protegidos entre regiones cuando se trabaja con varios inquilinos que tienen varias capacidades en una serie de zonas geográficas.

Acceso a los datos

Fabric controla el acceso a los datos mediante áreas de trabajo. En las áreas de trabajo, los datos aparecen en forma de elementos de Fabric y los usuarios no pueden ver ni usar elementos (datos) a menos que les conceda acceso al área de trabajo. Encontrará más información sobre los permisos para áreas de trabajo y elementos, en el modelo Permiso.

Roles de área de trabajo

El acceso al área de trabajo se muestra en la tabla siguiente. Incluye roles de área de trabajo y seguridad de Fabric y OneLake. Los usuarios con un rol de visor pueden ejecutar consultas de SQL, Data Analysis Expressions (DAX) o Expresiones multidimensionales (MDX), pero no pueden acceder a elementos de Fabric ni ejecutar un cuaderno.

Role Acceso al área de trabajo Acceso a OneLake
Administrador, miembro y colaborador Puede usar todos los elementos del área de trabajo
Espectador Puede ver todos los elementos del área de trabajo

Compartir elementos

Puede compartir elementos de Fabric con usuarios de la organización que no tengan ningún rol de área de trabajo. El uso compartido de elementos proporciona acceso restringido, lo que permite a los usuarios acceder solo al elemento compartido en el área de trabajo.

Limitación del acceso

Puede limitar el acceso del visor a los datos mediante la seguridad de nivel de fila (RLS), la seguridad de nivel de columna (CLS) y la seguridad de nivel de objeto (OLS). Con RLS, CLS y OLS, puede crear identidades de usuario que tengan acceso a determinadas partes de los datos y limitar los resultados de SQL que se devuelven solo a lo que pueda acceder la identidad del usuario.

También puede agregar RLS a un conjunto de datos de DirectLake. Si define la seguridad para SQL y DAX, DirectLake recurre a DirectQuery para las tablas que tienen RLS en SQL. En esos casos, los resultados de DAX o MDX se limitan a la identidad del usuario.

Para exponer informes mediante un conjunto de datos de DirectLake con RLS sin reserva de DirectQuery, use compartir conjunto de datos directos o aplicaciones en Power BI. Con las aplicaciones en Power BI, puede conceder acceso a informes sin acceso de visor. Este tipo de acceso significa que los usuarios no pueden utilizar SQL. Para permitir que DirectLake lea los datos, debe cambiar la credencial del origen de datos de Inicio de sesión único (SSO) a una identidad fija que tenga acceso a los archivos del lago.

Protección de datos

Fabric admite etiquetas de confidencialidad de Microsoft Purview Information Protection. Estas etiquetas, como General, Confidencial y Extremadamente confidencial, se usan ampliamente en aplicaciones de Microsoft Office como Word, PowerPoint y Excel para proteger información confidencial. En Fabric, puedes clasificar elementos que contienen datos confidenciales con estas mismas etiquetas de confidencialidad. A continuación, las etiquetas de confidencialidad siguen automáticamente los datos del elemento al elemento a medida que fluye a través de Fabric, desde el origen de datos hasta el usuario empresarial. La etiqueta de confidencialidad sigue incluso cuando los datos se exportan a formatos admitidos, como PBIX, Excel, PowerPoint y PDF, lo que garantiza que los datos permanecen protegidos. Solo los usuarios autorizados pueden abrir el archivo. Para obtener más información, consulta Gobernanza y cumplimiento en Microsoft Fabric.

Para ayudarlo a administrar, proteger y controlar las políticas de datos, puede usar Microsoft Purview. Microsoft Purview y Fabric funcionan conjuntamente, lo que le permite almacenar, analizar y controlar los datos desde una sola ubicación, el centro de Microsoft Purview.

Recuperar datos

La resistencia de los datos de Fabric garantiza que los datos estén disponibles si se produce un desastre. Fabric también le permite recuperar los datos en caso de desastre, recuperación ante desastres. Para obtener más información, consulte Confiabilidad en Microsoft Fabric.

Administrar Fabric

Como administrador de Fabric, podrá controlar las funcionalidades de toda la organización. Fabric permite la delegación del rol de administrador a capacidades, áreas de trabajo y dominios. Al delegar responsabilidades de administrador a las personas adecuadas, puede implementar un modelo que permita a varios administradores clave controlar la configuración general de Fabric en toda la organización, mientras que otros administradores están a cargo de la configuración relacionada con áreas específicas.

Con diversas herramientas, los administradores también pueden supervisar aspectos clave de Fabric, como el consumo de capacidad.

Registros de auditoría

Para ver los registros de auditoría, siga las instrucciones de Seguimiento de las actividades de usuario en Microsoft Fabric. También puede consultar la lista de operaciones para ver qué actividades están disponibles para buscar en los registros de auditoría.

Funcionalidades

Revise esta sección para obtener una lista de algunas de las características de seguridad disponibles en Microsoft Fabric.

Funcionalidad Descripción
Acceso condicional Protección de las aplicaciones mediante Microsoft Entra ID
Caja de seguridad Control de cómo los ingenieros de Microsoft acceden a los datos
Seguridad de Fabric y OneLake Más información sobre cómo proteger los datos en Fabric y OneLake.
Resistencia Confiabilidad y resistencia regional con zonas de disponibilidad de Azure
Etiquetas de servicio Habilitación de Azure SQL Managed Instance (MI) para permitir conexiones entrantes desde Microsoft Fabric