Share via

Notas del producto sobre seguridad de Azure Synapse Analytics: protección de datos

  • Artículo

Nota

Este artículo forma parte de la serie de artículos de las notas del producto sobre seguridad de Azure Synapse Analytics. Para obtener información general de la serie, consulte Notas del producto sobre seguridad de Azure Synapse Analytics: introducción.

Clasificación y detección de datos

Las organizaciones deben proteger sus datos para cumplir las directrices regionales, locales y empresariales para mitigar los riesgos de vulneración de datos. Las organizaciones no solo se enfrentan a este desafío: ¿cómo se protegen los datos si no se sabe dónde están?, sino también a este: ¿qué nivel de protección se necesita?, ya que algunos conjuntos de datos requieren más protección que otros.

Imagine una organización con cientos o miles de archivos almacenados en su lago de datos y cientos o miles de tablas en sus bases de datos. Se beneficiaría de un proceso que examina automáticamente todas las filas y columnas del sistema de archivos o de la tabla, y clasifica las columnas como datos potencialmente confidenciales. Este proceso se conoce como detección de datos.

Una vez que se completa el proceso de detección de datos, proporciona recomendaciones para la clasificación basadas en un conjunto predefinido de patrones, palabras clave y reglas. Después, alguien puede examinar las recomendaciones y aplicar etiquetas de clasificación de confidencialidad a las columnas adecuadas. Este proceso se conoce como clasificación.

Azure Synapse proporciona dos opciones para la clasificación y detección de datos:

  • Detección y clasificación de datos, que está integrada en Azure Synapse y en el grupo de SQL dedicado (anteriormente SQL DW).
  • Microsoft Purview, que es una solución unificada de gobernanza de datos que ayuda a administrar y gobernar datos en el entorno local, en varias nubes y en software como servicio (SaaS). Puede automatizar la detección de datos, la identificación del linaje y la clasificación de datos. Al generar un mapa unificado de recursos de datos y sus relaciones, hace que los datos se puedan detectar fácilmente.

Nota

La clasificación y detección de datos de Microsoft Purview está en versión preliminar pública para Azure Synapse, un grupo de SQL dedicado (anteriormente SQL DW) y un grupo de SQL sin servidor. Sin embargo, el linaje de datos no se admite actualmente para Azure Synapse, un grupo de SQL dedicado (anteriormente SQL DW) y un grupo de SQL sin servidor. El grupo de Apache Spark solo admite el seguimiento del linaje.

Cifrado de datos

Los datos se cifran tanto en reposo como en tránsito.

Datos en reposo

De forma predeterminada, Azure Storage cifra automáticamente todos los datos mediante el cifrado de Estándar de cifrado avanzado de 256 bits (AES 256). Es uno de los cifrados de bloques más sólidos disponibles y es compatible con FIPS 140-2. La plataforma administra la clave de cifrado y forma la primera capa del cifrado de datos. Este cifrado se aplica a las bases de datos de usuario y del sistema, incluida la base de datos maestra.

La habilitación de Cifrado de datos transparente (TDE) puede agregar una segunda capa de cifrado de datos para grupos de SQL dedicados. También realiza cifrado y descifrado de la base de datos de la E/S de archivos de bases de datos en tiempo real, archivos de registros de transacciones y copias de seguridad en reposo sin necesidad de efectuar cambios en la aplicación. De forma predeterminada, usa AES 256.

De forma predeterminada, TDE protege la clave de cifrado de base de datos (DEK) con un certificado de servidor integrado (administrado por el servicio). Hay una opción para traer su propia clave (BYOK) que se puede almacenar de forma segura en Azure Key Vault.

El grupo sin servidor de Azure Synapse SQL y el grupo de Apache Spark son motores de análisis que funcionan directamente en Azure Data Lake Gen2 (ALDS Gen2) o Azure Blob Storage. Estos runtimes de análisis no tienen almacenamiento permanente y se basan en tecnologías de cifrado de Azure Storage para la protección de datos. De forma predeterminada, Azure Storage cifra todos los datos mediante el cifrado del lado servidor (SSE). Está habilitada para todos los tipos de almacenamiento (incluido ADLS Gen2) y no se puede deshabilitar. SSE cifra y descifra los datos de forma transparente mediante AES 256.

Hay dos opciones de cifrado de SSE:

  • Claves administradas por Microsoft: Microsoft administra todos los aspectos de la clave de cifrado, incluidos el almacenamiento de claves, la propiedad y las rotaciones. Es completamente transparente para los clientes.
  • Claves administradas por el cliente: en este caso, la clave simétrica que se usa para cifrar los datos en Azure Storage se cifra mediante una clave proporcionada por el cliente. Admite claves RSA y RSA-HSM (módulos de seguridad de hardware) de los tamaños 2048, 3072 y 4096. Las claves se pueden almacenar de forma segura en Azure Key Vault o en HSM administrado por Azure Key Vault. Proporciona un control de acceso más preciso de la clave y su administración, lo que incluye el almacenamiento, la copia de seguridad y las rotaciones. Para más información, consulte Claves administradas por el cliente para el cifrado de Azure Storage.

Aunque SSE constituye la primera capa de cifrado, los clientes cautelosos pueden realizar un cifrado doble mediante la habilitación de una segunda capa de cifrado AES de 256 bits en la capa de infraestructura de Azure Storage. Se conoce como cifrado de infraestructura y usa una clave administrada por la plataforma, junto con una clave independiente de SSE. Por consiguiente, los datos de la cuenta de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura con dos algoritmos de cifrado y claves diferentes.

Datos en tránsito

Azure Synapse, un grupo de SQL dedicado (anteriormente SQL DW) y un grupo de SQL sin servidor usan el protocolo Tabular Data Stream (TDS) para comunicarse entre el punto de conexión del grupo de SQL y una máquina cliente. TDS depende del protocolo TLS (Seguridad de la capa de transporte) para el cifrado del canal, lo que garantiza que se protegen y cifran todos los paquetes de datos entre el punto de conexión y la máquina cliente. Usa un certificado de servidor firmado de la entidad de certificación (CA) que se usa para el cifrado TLS, administrado por Microsoft. Azure Synapse admite el cifrado de datos en tránsito con TLS v1.2, mediante el cifrado AES 256.

Azure Synapse aprovecha TLS para asegurarse de que los datos se cifran en movimiento. Los grupos de SQL dedicados admiten las versiones TLS 1.0, TLS 1.1 y TLS 1.2 para el cifrado, donde los controladores proporcionados por Microsoft usan TLS 1.2 de forma predeterminada. El grupo de SQL sin servidor y el grupo de Apache Spark usan TLS 1.2 para todas las conexiones salientes.

Pasos siguientes

En el siguiente artículo de esta serie de notas del producto, obtendrá información sobre el control de acceso.