Habilitación del cifrado doble para el clúster en Azure Data Explorer

Cuando crea un clúster, los datos se cifran automáticamente en el nivel de servicio. Para mayor seguridad de los datos, también puede habilitar el cifrado doble.

Si se habilita el cifrado doble, los datos de la cuenta de almacenamiento se cifran dos veces, mediante dos algoritmos diferentes.

Importante

• La habilitación del cifrado doble solo es posible durante la creación del clúster.
• Una vez que el cifrado de la infraestructura esté habilitado en el clúster, no podrá deshabilitarlo.

Azure Portal

1. Creación de un clúster de Azure Data Explorer

2. En la pestaña Seguridad>Habilitar cifrado doble, seleccione Activar. Para quitar el cifrado doble, seleccione Off (Desactivar).

3. Seleccione Siguiente: Red> o Revisar y crear para crear el clúster.

   

C#

Puede habilitar el cifrado de infraestructura durante la creación del clúster mediante C#.

Requisitos previos

Para configurar una identidad administrada mediante el cliente de C# de Azure Data Explorer:

• Instale el paquete NuGet de Azure Data Explorer.
• Instale el paquete NuGet Microsoft.IdentityModel.Clients.ActiveDirectory para la autenticación.
• Creación de una aplicación de Azure Active Directory y una entidad de servicio con acceso a los recursos. La asignación de roles se agrega en el ámbito de la suscripción y se obtienen los objetos Directory (tenant) ID, Application ID y Client Secretnecesarios.

Creación del clúster

1. Cree el clúster mediante la propiedad enableDoubleEncryption:

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";//Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";//Application ID
   var clientSecret = "PlaceholderClientSecret";//Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   var authenticationContext = new AuthenticationContext($"https://login.windows.net/{tenantId}");
   var credential = new ClientCredential(clientId, clientSecret);
   var result = await authenticationContext.AcquireTokenAsync(resource: "https://management.core.windows.net/", clientCredential: credential);
   
   var credentials = new TokenCredentials(result.AccessToken, result.AccessTokenType);
   
   var kustoManagementClient = new KustoManagementClient(credentials)
   {
       SubscriptionId = subscriptionId
   };
   
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var location = "East US";
   var skuName = "Standard_D13_v2";
   var tier = "Standard";
   var capacity = 5;
   var sku = new AzureSku(skuName, tier, capacity);
   var enableDoubleEncryption = true;
   var cluster = new Cluster(location, sku, enableDoubleEncryption: enableDoubleEncryption);
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, cluster);
   

2. Ejecute el siguiente comando para comprobar si el clúster se creó correctamente:

   kustoManagementClient.Clusters.Get(resourceGroupName, clusterName);
   

   Si el resultado contiene ProvisioningState con el valor Succeeded, significa que el clúster se ha creado correctamente.

Plantilla ARM

Puede habilitar el cifrado de infraestructura durante la creación del clúster mediante Azure Resource Manager.

Se puede utilizar una plantilla de Azure Resource Manager para automatizar la implementación de los recursos de Azure. Para obtener información sobre la implementación en Azure Data Explorer, consulte Creación de un clúster y una base de datos de Azure Data Explorer mediante una plantilla de Azure Resource Manager.

Adición de identidad asignada por el sistema mediante una plantilla de Azure Resource Manager

Agregue el tipo "EnableDoubleEncryption" para indicar a Azure que habilite el cifrado de infraestructura (cifrado doble) para el clúster.

{
    "apiVersion": "2020-06-14",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "properties": {
        "trustedExternalTenants": [],
        "virtualNetworkConfiguration": null,
        "optimizedAutoscale": null,
        "enableDiskEncryption": false,
        "enableStreamingIngest": false,
        "enableDoubleEncryption": true,
    }
}

Consideraciones

Las consideraciones siguientes se aplican al cifrado de volúmenes seleccionados:

• Impacto en el rendimiento de hasta un solo dígito
• No se puede usar con espacios aislados.

Pasos siguientes

• Habilitación del cifrado del clúster
• Comprobación del estado del clúster