Whitepaper zur Azure Synapse Analytics-Sicherheit: Datenschutz

  • Artikel

Hinweis

Dieser Artikel ist Teil der Artikelserie zum Whitepaper Azure Synapse Analytics-Sicherheit. Eine Übersicht über die Artikelserie finden Sie unter Whitepaper zur Azure Synapse Analytics-Sicherheit.

Datenermittlung und -klassifizierung

Organisationen müssen ihre Daten schützen, um die Richtlinien des Bundes, der lokalen Gesetzgebung und des Unternehmens einzuhalten, um Risiken durch Datenverstöße zu minimieren. Eine Herausforderung für Organisationen lautet: Wie schützen Sie die Daten, wenn Sie nicht wissen, wo sie sich befinden? Eine andere lautet: Welche Schutzebene ist erforderlich? – da einige Datasets mehr Schutz erfordern als andere.

Stellen Sie sich eine Organisation mit Hunderten oder Tausenden von Dateien vor, die in ihrem Data Lake gespeichert sind, und Hunderten oder Tausenden von Tabellen in den jeweiligen Datenbanken. Dieses Szenario würde von einem Prozess profitieren, der automatisch jede Zeile und Spalte des Dateisystems oder der Tabelle überprüft und Spalten als potenziell vertrauliche Daten klassifiziert. Dieser Prozess wird als Datenermittlung bezeichnet.

Sobald der Datenermittlungsprozess abgeschlossen ist, werden Klassifizierungsempfehlungen basierend auf einem vordefinierten Satz von Mustern, Schlüsselwörtern und Regeln abgegeben. Anschließend kann jemand die Empfehlungen überprüfen und Vertraulichkeitsklassifizierungsbezeichnungen auf die entsprechenden Spalten anwenden. Dieser Prozess wird als Klassifizierung bezeichnet.

Azure Synapse bietet zwei Optionen für die Datenermittlung und -klassifizierung:

  • Datenermittlung und -klassifizierung, die in Azure Synapse und dedizierten SQL-Pool (früher SQL DW) integriert sind.
  • Microsoft Purview, wobei es sich um eine einheitliche Lösung für Datengovernance handelt, die Sie bei der Verwaltung und Steuerung von lokalen Daten, von Daten in mehreren Clouds sowie von SaaS-Daten (Software-as-a-Service) unterstützt. Sie kann die Datenermittlung, die Identifizierung der Datenherkunft und die Datenklassifizierung automatisieren. Durch die Erzeugung einer einheitlichen Zuordnung von Datenressourcen und deren Beziehungen lassen sich Daten leicht ermitteln.

Hinweis

Die Microsoft Purview-Datenermittlung und -klassifizierung befindet sich in der öffentlichen Vorschauphase für Azure Synapse, dedizierten SQL-Pool (früher SQL DW) und serverlosen SQ-Pool. Datenherkunft wird derzeit jedoch nicht unterstützt für Azure Synapse, dedizierten SQL-Pool (früher SQL DW) und serverlosen SQL-Pool. Apache Spark-Pool unterstützt nur die Nachverfolgung der Datenherkunft.

Datenverschlüsselung

Daten werden im Ruhezustand und bei der Übertragung verschlüsselt.

Ruhende Daten

Standardmäßig verschlüsselt Azure Storage automatisch alle Daten mithilfe der 256-Bit-Advanced Encryption Standard-Verschlüsselung (AES 256). Dies ist eine der stärksten verfügbaren Blockchiffren sowie FIPS 140-2-konform. Die Plattform verwaltet den Verschlüsselungsschlüssel und bildet die erste Ebene der Datenverschlüsselung. Diese Verschlüsselung gilt sowohl für Benutzer- als auch für Systemdatenbanken, einschließlich der Masterdatenbank.

Durch das Aktivieren der Transparent Data Encryption (TDE) kann für dedizierte SQL-Pools noch eine zweite Eben der Datenverschlüsselung hinzugefügt werden. TDE ver- und entschlüsselt Datenbankdateien, Transaktionsprotokolldateien sowie Sicherungen im Ruhezustand in Echtzeit, ohne dass Änderungen an der Anwendung erforderlich sind. Standardmäßig wird AES 256 verwendet.

TDE schützt den Datenbankverschlüsselungsschlüssel (Database Encryption Key, DEK) standardmäßig mit einem integrierten Serverzertifikat (vom Dienst verwaltet). Es gibt eine Option zum Verwenden Ihres eigenen Schlüssels (Bring Your Own Key, BYOK), der sicher in Azure Key Vault gespeichert werden kann.

Serverloser SQL-Pool von Azure Synapse und Apache Spark-Pools sind Analyse-Engines, die direkt mit Azure Data Lake Gen2 (ALDS Gen2) oder Azure Blob Storage arbeiten. Diese Analyselaufzeiten verfügen nicht über permanenten Speicher und basieren beim Datenschutz auf Azure Storage-Verschlüsselungstechnologien. Standardmäßig verschlüsselt Azure Storage sämtliche Daten mithilfe der serverseitigen Verschlüsselung (Server-Side Encryption, SSE). Sie ist für alle Speichertypen (einschließlich ADLS Gen2) aktiviert und kann nicht deaktiviert werden. SSE verschlüsselt und entschlüsselt Daten transparent mit AES 256.

Es gibt zwei SSE-Verschlüsselungsoptionen:

  • Von Microsoft verwaltete Schlüssel: Microsoft verwaltet alle Aspekte des Verschlüsselungsschlüssels, einschließlich Schlüsselspeicher, Besitz und Rotationen. Dies ist für Kunden vollständig transparent.
  • Kundenseitig verwaltete Schlüssel: In diesem Fall wird der symmetrische Schlüssel, der zum Verschlüsseln von Daten in Azure Storage verwendet wird, mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt. Dies unterstützt RSA- und RSA-HSM-Schlüssel (Hardwaresicherheitsmodul) der Größen 2048, 3072 und 4096. Schlüssel können sicher in Azure Key Vault oder in einem mit Azure Key Vault verwalteten HSM gespeichert werden. Dies bietet eine differenzierte Zugriffssteuerung für den Schlüssel und seine Verwaltung, einschließlich Speicher, Sicherung und Rotationen. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung.

Während SSE die erste Verschlüsselungsebene bildet, können vorsichtige Kunden eine doppelte Verschlüsselung vornehmen, indem sie eine zweite Ebene der 256-Bit-AES-Verschlüsselung auf der Azure Storage-Infrastrukturebene aktivieren. Diese, als Infrastrukturverschlüsselung bezeichnet, verwendet einen plattformseitig verwalteten Schlüssel zusammen mit einem separaten Schlüssel von SSE. Somit werden Daten im Speicherkonto zwei Mal verschlüsselt: ein Mal auf Dienstebene und ein Mal auf Infrastrukturebene. Dabei werden zwei unterschiedliche Verschlüsselungsalgorithmen und zwei verschiedene Schlüssel verwendet.

Daten während der Übertragung

Azure Synapse, dedizierter SQL-Pool (früher SQL DW) und serverloser SQL-Pool verwenden das TDS-Protokoll (Tabular Data Stream) für die Kommunikation zwischen dem SQL-Poolendpunkt und einem Clientcomputer. TDS basiert bei der Kanalverschlüsselung auf Transport Layer Security (TLS), und stellt so sicher, dass alle Datenpakete zwischen Endpunkt und Clientcomputer geschützt und verschlüsselt sind. Dabei wird ein signiertes Serverzertifikat der Zertifizierungsstelle (Certificate Authority, CA) verwendet, das für die TLS-Verschlüsselung verwendet und von Microsoft verwaltet wird. Azure Synapse unterstützt die Datenverschlüsselung während der Übertragung mit TLS v1.2 mithilfe der AES 256-Verschlüsselung.

Azure Synapse nutzt TLS, um sicherzustellen, dass Daten während der Übertragung verschlüsselt werden. Dedizierte SQL-Pools unterstützen die Versionen TLS 1.0, TLS 1.1 und TLS 1.2 für die Verschlüsselung, während von Microsoft bereitgestellte Treiber standardmäßig TLS 1.2 verwenden. Serverloser SQL-Pool und Apache Spark-Pool verwenden TLS 1.2 für alle ausgehenden Verbindungen.

Nächste Schritte

Im nächsten Artikel dieser Whitepaperserie erfahren Sie mehr über Zugriffssteuerung.