Encryption for Azure Synapse Analytics workspaces

  • مقالة
  • قراءة خلال 5 دقائق

ستوضح هذه المقالة:

  • تشفير البيانات في وضع السكون في مساحات عمل Synapse Analytics.
  • تكوين مساحات عمل Synapse لتمكين التشفير باستخدام مفتاح مدار من قبل العميل.
  • إدارة المفاتيح المستخدمة لتشفير البيانات في مساحات العمل.

تشفير البيانات الثابتة

يضمن حل التشفير في حالة سكون الكامل عدم استمرار البيانات أبدا في شكل غير مشفر. يعمل التشفير المزدوج للبيانات في حالة السكون على تخفيف التهديدات باستخدام طبقتين منفصلتين من التشفير للحماية من الاختراقات لأي طبقة واحدة. يوفر Azure Synapse Analytics طبقة ثانية من التشفير للبيانات الموجودة في مساحة العمل الخاصة بك باستخدام مفتاح يديره العميل. يتم حماية هذا المفتاح في Azure Key Vault، مما يسمح لك بامتلاك إدارة المفاتيح وتدويرها.

يتم تمكين الطبقة الأولى من التشفير لخدمات Azure باستخدام المفاتيح المدارة بواسطة النظام الأساسي. بشكل افتراضي، يتم تشفير أقراص Azure والبيانات الموجودة في حسابات Azure Storage تلقائيا في حالة السكون. تعرف على المزيد حول كيفية استخدام التشفير في Microsoft Azure في نظرة عامة على تشفير Azure.

ملاحظة

قد يتم إرسال بعض العناصر التي تعتبر محتوى عميل، مثل أسماء الجداول وأسماء الكائنات وأسماء الفهرسات، في ملفات السجل للحصول على الدعم واستكشاف الأخطاء وإصلاحها بواسطة Microsoft.

Azure Synapse encryption

سيساعدك هذا القسم على فهم كيفية تمكين تشفير المفاتيح الذي يديره العميل وفرضه بشكل أفضل في مساحات عمل Synapse. يستخدم هذا التشفير المفاتيح الموجودة أو المفاتيح الجديدة التي تم إنشاؤها في Azure Key Vault. يتم استخدام مفتاح واحد لتشفير جميع البيانات في مساحة العمل. تدعم مساحات عمل Synapse مفاتيح RSA 2048 و 3072 بايت ومفاتيح RSA-HSM.

ملاحظة

لا تدعم مساحات عمل Synapse استخدام مفاتيح EC وEC-HSM وOCT-HSM للتشفير.

يتم تشفير البيانات الموجودة في مكونات Synapse التالية باستخدام المفتاح المدار من قبل العميل الذي تم تكوينه على مستوى مساحة العمل:

  • حمامات SQL
  • تجمعات SQL المخصصة
  • حمامات SQL بدون خادم
  • تجمعات Apache Spark
  • Azure Data Factory تكامل أوقات التشغيل، وخطوط الأنابيب، ومجموعات البيانات.

تكوين تشفير مساحة العمل

يمكن تكوين مساحات العمل لتمكين التشفير المزدوج باستخدام مفتاح يديره العميل في وقت إنشاء مساحة العمل. قم بتمكين التشفير المزدوج باستخدام مفتاح يديره العميل في علامة التبويب "الأمان" عند إنشاء مساحة العمل الجديدة. يمكنك اختيار إدخال عنوان URI لمعرف مفتاح أو التحديد من قائمة خزائن المفاتيح في نفس المنطقة التي توجد بها مساحة العمل. تحتاج Key Vault نفسها إلى تمكين الحماية من التطهير.

هام

لا يمكن تغيير إعداد التكوين للتشفير المزدوج بعد إنشاء مساحة العمل.

This diagram shows the option that must be selected to enable a workspace for double encryption with a customer-managed key.

الوصول إلى المفتاح وتنشيط مساحة العمل

يتضمن نموذج تشفير Azure Synapse مع المفاتيح التي يديرها العميل مساحة العمل التي تصل إلى المفاتيح في Azure Key Vault لتشفيرها وفك تشفيرها حسب الحاجة. يتم الوصول إلى المفاتيح إلى مساحة العمل إما من خلال نهج الوصول أو Azure Key Vault RBAC. عند منح الأذونات عبر نهج الوصول إلى Azure Key Vault، اختر الخيار "التطبيق فقط" أثناء إنشاء النهج (حدد الهوية المدارة لمساحات العمل ولا تقم بإضافتها كتطبيق معتمد).

يجب منح الهوية المدارة لمساحة العمل الأذونات التي تحتاجها على مخزن المفاتيح قبل تنشيط مساحة العمل. يضمن هذا النهج المرحلي لتنشيط مساحة العمل تشفير البيانات الموجودة في مساحة العمل باستخدام المفتاح الذي يديره العميل. يمكن تمكين التشفير أو تعطيله لتجمعات SQL الفردية المخصصة. لا يتم تمكين كل تجمع مخصص للتشفير بشكل افتراضي.

استخدام هوية مدارة معينة من قبل المستخدم

يمكن تكوين مساحات العمل لاستخدام هوية مدارة معينة من قبل المستخدم للوصول إلى المفتاح المدار من قبل العميل والمخزن في Azure Key Vault. قم بتكوين هوية مدارة معينة من قبل المستخدم لتجنب التنشيط التدريجي لمساحة عمل Azure Synapse عند استخدام التشفير المزدوج مع المفاتيح التي يديرها العميل. مطلوب الدور المضمن "مساهم الهوية المدارة" لتعيين هوية مدارة معينة من قبل المستخدم إلى مساحة عمل Azure Synapse.

ملاحظة

لا يمكن تكوين الهوية المدارة المعينة من قبل المستخدم للوصول إلى المفتاح المدار من قبل العميل عندما يكون Azure Key Vault خلف جدار حماية.

This diagram shows the option that must be selected to enable a workspace to use user-assigned managed-identity for double encryption with a customer-managed key.

الأذونات

لتشفير البيانات أو فك تشفيرها في حالة السكون، يجب أن يكون للهوية المدارة الأذونات التالية. وبالمثل ، إذا كنت تستخدم قالب Resource Manager لإنشاء مفتاح جديد ، فيجب أن تحتوي معلمة "keyOps" الخاصة بالقالب على الأذونات التالية:

  • WrapKey (لإدراج مفتاح في Key Vault عند إنشاء مفتاح جديد).
  • UnwrapKey (للحصول على مفتاح فك التشفير).
  • الحصول على (لقراءة الجزء العام من مفتاح)

تنشيط مساحة العمل

إذا لم تقم بتكوين هوية مدارة معينة من قبل المستخدم للوصول إلى المفاتيح المدارة من قبل العميل أثناء إنشاء مساحة العمل، فستظل مساحة العمل في حالة "معلقة" حتى ينجح التنشيط. يجب تنشيط مساحة العمل قبل أن تتمكن من استخدام جميع الوظائف بالكامل. على سبيل المثال، يمكنك فقط إنشاء تجمع SQL مخصص جديد بمجرد نجاح التنشيط. امنح مساحة العمل حق الوصول إلى الهوية المدارة إلى مخزن المفاتيح وحدد ارتباط التنشيط في شعار مدخل Azure لمساحة العمل. بمجرد اكتمال التنشيط بنجاح، تصبح مساحة العمل الخاصة بك جاهزة للاستخدام مع التأكد من أن جميع البيانات الموجودة فيها محمية باستخدام المفتاح الذي يديره العميل. كما ذكرنا سابقا ، يجب أن يكون لدى المخزن الرئيسي حماية تطهير ممكنة لنجاح التنشيط.

This diagram shows the banner with the activation link for the workspace.

إدارة المفتاح الذي يديره العميل في مساحة العمل

يمكنك تغيير المفتاح المدار من قبل العميل المستخدم لتشفير البيانات من صفحة التشفير في مدخل Azure. هنا أيضا، يمكنك اختيار مفتاح جديد باستخدام معرف مفتاح أو الاختيار من بين خزائن المفاتيح التي يمكنك الوصول إليها في نفس المنطقة مثل مساحة العمل. إذا اخترت مفتاحا في مخزن مفاتيح مختلف عن المفاتيح المستخدمة سابقا، فامنح الهوية المدارة في مساحة العمل أذونات "Get" و"Wrap" و"Unwrap" على مخزن المفاتيح الجديد. ستقوم مساحة العمل بالتحقق من صحة وصولها إلى قبو المفاتيح الجديد وسيتم إعادة تشفير جميع البيانات الموجودة في مساحة العمل باستخدام المفتاح الجديد.

This diagram shows the workspace Encryption section in the Azure portal.

هام

عند تغيير مفتاح التشفير الخاص بمساحة عمل، احتفظ بالمفتاح حتى تستبدله في مساحة العمل بمفتاح جديد. هذا للسماح بفك تشفير البيانات باستخدام المفتاح القديم قبل إعادة تشفيرها باستخدام المفتاح الجديد.

يمكن أن تؤدي سياسات Azure Key Vaults للتدوير التلقائي والدوري للمفاتيح أو الإجراءات على المفاتيح إلى إنشاء إصدارات مفاتيح جديدة. يمكنك اختيار إعادة تشفير كافة البيانات الموجودة في مساحة العمل باستخدام أحدث إصدار من المفتاح النشط. لإعادة التشفير، قم بتغيير المفتاح الموجود في مدخل Azure إلى مفتاح مؤقت ثم قم بالتبديل مرة أخرى إلى المفتاح الذي ترغب في استخدامه للتشفير. على سبيل المثال، لتحديث تشفير البيانات باستخدام أحدث إصدار من المفتاح النشط Key1، قم بتغيير المفتاح الذي يديره العميل في مساحة العمل إلى المفتاح المؤقت، Key2. انتظر حتى ينتهي التشفير باستخدام Key2. ثم قم بتبديل المفتاح الذي يديره العميل في مساحة العمل مرة أخرى إلى بيانات Key1 في مساحة العمل وسيتم إعادة تشفيرها باستخدام أحدث إصدار من Key1.

ملاحظة

يعمل Azure Synapse Analytics بنشاط على إضافة وظائف لإعادة تشفير البيانات تلقائيا عند إنشاء إصدارات رئيسية جديدة. إلى أن تتوفر هذه الوظيفة، لضمان الاتساق في مساحة العمل الخاصة بك، فرض إعادة تشفير البيانات باستخدام العملية المفصلة أعلاه.

SQL تشفير البيانات الشفاف باستخدام المفاتيح المدارة من قبل الخدمة

يتوفر تشفير البيانات الشفاف (TDE) SQL لتجمعات SQL المخصصة في مساحات العمل غير الممكنة للتشفير المزدوج. في هذا النوع من مساحات العمل، يتم استخدام مفتاح مدار بواسطة الخدمة لتوفير تشفير مزدوج للبيانات الموجودة في تجمعات SQL المخصصة. يمكن تمكين TDE مع المفتاح المدار بالخدمة أو تعطيله لتجمعات SQL الفردية المخصصة.

الخطوات التالية