Share via

Titkosítás Azure Synapse Analytics-munkaterületekhez

  • Cikk

Ez a cikk a következőket ismerteti:

  • Inaktív adatok titkosítása a Synapse Analytics-munkaterületeken.
  • Synapse-munkaterületek konfigurálása az ügyfél által felügyelt kulccsal történő titkosítás engedélyezéséhez.
  • A munkaterületek adatainak titkosításához használt kulcsok kezelése.

Inaktív adatok titkosítása

A teljes inaktív titkosítási megoldás biztosítja, hogy az adatok soha ne maradnak titkosítatlan formában. Az inaktív adatok kettős titkosítása két, különálló titkosítási réteggel csökkenti a fenyegetéseket, hogy védelmet nyújtsunk az egyrétegű biztonsági rések ellen. Azure Synapse Analytics egy második titkosítási réteget kínál a munkaterületen lévő adatokhoz egy ügyfél által felügyelt kulccsal. Ezt a kulcsot az Azure Key Vault védi, amely lehetővé teszi a kulcskezelés és -rotáció tulajdonjogának átvételét.

Az Azure-szolgáltatások első titkosítási rétege platform által felügyelt kulcsokkal van engedélyezve. Alapértelmezés szerint az Azure Storage-fiókokban lévő Azure-lemezek és -adatok inaktív állapotban automatikusan titkosítva vannak. További információ a Titkosítás használatáról a Microsoft Azure-ban az Azure Encryption áttekintésében.

Megjegyzés

Egyes ügyféltartalomnak tekintett elemeket, például a táblaneveket, az objektumneveket és az indexneveket a Microsoft a naplófájlokban továbbíthatja támogatás és hibaelhárítás céljából.

Azure Synapse titkosítás

Ez a szakasz segít jobban megérteni, hogyan engedélyezve és kényszerítve van az ügyfél által felügyelt kulcstitkosítás a Synapse-munkaterületeken. Ez a titkosítás az Azure Key Vault-ban létrehozott meglévő kulcsokat vagy új kulcsokat használja. Egyetlen kulccsal titkosítja a munkaterület összes adatát. A Synapse-munkaterületek támogatják az RSA 2048 és 3072 bájt méretű kulcsokat, valamint az RSA-HSM kulcsokat.

Megjegyzés

A Synapse-munkaterületek nem támogatják az EC-, EC-HSM- és okt-HSM-kulcsok titkosítását.

A következő Synapse-összetevők adatai a munkaterület szintjén konfigurált, ügyfél által felügyelt kulccsal lesznek titkosítva:

  • SQL-készletek
  • Dedikált SQL-készletek
  • Kiszolgáló nélküli SQL-készletek
  • Data Explorer készletek
  • Apache Spark-készletek
  • Azure Data Factory integrációs modulokat, folyamatokat és adatkészleteket.

Munkaterület titkosítási konfigurációja

A munkaterületek úgy konfigurálhatók, hogy a munkaterület létrehozásakor ügyfél által felügyelt kulccsal engedélyezzenek kettős titkosítást. Engedélyezze a kettős titkosítást egy ügyfél által felügyelt kulccsal a "Biztonság" lapon az új munkaterület létrehozásakor. Megadhatja a kulcsazonosító URI-ját, vagy választhat a munkaterületével azonos régióban található kulcstartók listájából. Magának a Key Vault engedélyeznie kell a végleges törlés elleni védelmet.

Fontos

A dupla titkosítás konfigurációs beállítása nem módosítható a munkaterület létrehozása után.

Ez az ábra azt a beállítást mutatja be, amelyet ki kell választani ahhoz, hogy az ügyfél által felügyelt kulccsal engedélyezze a munkaterületet a dupla titkosításhoz.

Kulcshozzáférés és munkaterület aktiválása

Az ügyfél által felügyelt kulcsokkal rendelkező Azure Synapse titkosítási modellbe beletartozik, hogy a munkaterület hozzáfér a kulcsokhoz az Azure Key Vault, hogy szükség szerint titkosíthassa és visszafejthesse. A kulcsok hozzáférés-szabályzattal vagy azure Key Vault RBAC-vel érhetők el a munkaterület számára. Amikor engedélyeket ad meg egy Azure Key Vault hozzáférési szabályzaton keresztül, válassza az "Csak alkalmazás" lehetőséget a szabályzat létrehozásakor (válassza ki a munkaterületek felügyelt identitását, és ne adja hozzá engedélyezett alkalmazásként).

A munkaterület felügyelt identitásának meg kell adni a kulcstartóhoz szükséges engedélyeket a munkaterület aktiválása előtt. A munkaterület aktiválásának ezen szakaszos megközelítése biztosítja, hogy a munkaterületen lévő adatok az ügyfél által felügyelt kulccsal titkosítva lesznek. A titkosítás engedélyezhető vagy letiltható az egyes dedikált SQL-készletek esetében. Alapértelmezés szerint nincs engedélyezve minden dedikált készlet titkosításhoz.

Felhasználó által hozzárendelt felügyelt identitás használata

A munkaterületek konfigurálhatók úgy, hogy felhasználó által hozzárendelt felügyelt identitással férhessenek hozzá az Azure Key Vault tárolt ügyfél által felügyelt kulcshoz. Konfiguráljon egy felhasználó által hozzárendelt felügyelt identitást, hogy elkerülje a Azure Synapse-munkaterület szakaszos aktiválását az ügyfél által felügyelt kulcsokkal végzett kettős titkosítás használatakor. A Felügyelt identitás közreműködője beépített szerepkör szükséges ahhoz, hogy felhasználó által hozzárendelt felügyelt identitást rendeljen egy Azure Synapse-munkaterülethez.

Megjegyzés

A felhasználó által hozzárendelt felügyelt identitás nem konfigurálható az ügyfél által felügyelt kulcs elérésére, ha az Azure Key Vault tűzfal mögött található.

Ez az ábra azt a beállítást mutatja be, amelyet ki kell választani ahhoz, hogy egy munkaterület felhasználó által hozzárendelt felügyelt identitást használhasson az ügyfél által felügyelt kulccsal történő dupla titkosításhoz.

Engedélyek

Az inaktív adatok titkosításához vagy visszafejtéséhez a felügyelt identitásnak a következő engedélyekkel kell rendelkeznie. Hasonlóképpen, ha Resource Manager sablont használ egy új kulcs létrehozásához, a sablon "keyOps" paraméterének a következő engedélyekkel kell rendelkeznie:

  • WrapKey (kulcs beszúrása Key Vault új kulcs létrehozásakor).
  • UnwrapKey (a visszafejtéshez szükséges kulcs lekéréséhez).
  • Lekérés (egy kulcs nyilvános részének olvasásához)

Munkaterület aktiválása

Ha nem konfigurál felhasználó által hozzárendelt felügyelt identitást az ügyfél által felügyelt kulcsok eléréséhez a munkaterület létrehozása során, a munkaterület "Függőben" állapotban marad, amíg az aktiválás sikeres nem lesz. A munkaterületet aktiválni kell, mielőtt teljes mértékben használhatja az összes funkciót. Például csak akkor hozhat létre új dedikált SQL-készletet, ha az aktiválás sikeres volt. Adjon hozzáférést a munkaterület felügyelt identitásának a kulcstartóhoz, és válassza az aktiválási hivatkozást a munkaterületen Azure Portal szalagcímen. Miután az aktiválás sikeresen befejeződött, a munkaterület készen áll a használatra azzal a garanciával, hogy a benne lévő összes adat védve van az ügyfél által kezelt kulccsal. Ahogy korábban említettük, a kulcstartónak engedélyeznie kell a végleges törlés elleni védelmet az aktiválás sikerességéhez.

Ez az ábra a munkaterület aktiválási hivatkozását tartalmazó szalagcímet mutatja.

A munkaterület ügyfél által kezelt kulcsának kezelése

Az adatok titkosításához használt ügyfél által kezelt kulcsot a Azure Portal Titkosítás lapján módosíthatja. Itt is kiválaszthat egy új kulcsot egy kulcsazonosítóval, vagy kiválaszthatja azokat a Kulcstartókat, amelyekhez hozzáféréssel rendelkezik a munkaterületével azonos régióban. Ha a korábban használt kulcstartótól eltérő kulcstartóban választ kulcsot, adjon a munkaterület által felügyelt identitásnak "Get", "Wrap" és "Unwrap" engedélyeket az új kulcstartón. A munkaterület ellenőrzi az új kulcstartóhoz való hozzáférését, és a munkaterület összes adata újra lesz titkosítva az új kulccsal.

Ez az ábra a munkaterület titkosítási szakaszát mutatja be a Azure Portal.

Fontos

Egy munkaterület titkosítási kulcsának módosításakor őrizze meg a kulcsot, amíg a munkaterületen nem cseréli le egy új kulcsra. Ez lehetővé teszi az adatok visszafejtést a régi kulccsal, mielőtt újra titkosítanák az új kulccsal.

Az Azure Key Vault-szabályzatok a kulcsok automatikus, rendszeres rotálásához vagy a kulcsokon végzett műveletekhez új kulcsverziók létrehozását eredményezhetik. Dönthet úgy, hogy újra titkosítja a munkaterületen lévő összes adatot az aktív kulcs legújabb verziójával. Az újratitkosításhoz módosítsa a Azure Portal kulcsát ideiglenes kulcsra, majd váltson vissza a titkosításhoz használni kívánt kulcsra. Ha például az aktív kulcs1 legújabb verziójával szeretné frissíteni az adattitkosítást, módosítsa a munkaterület ügyfél által kezelt kulcsát ideiglenes kulcsra( Key2). Várja meg, amíg befejeződik a Key2 titkosítása. Ezután váltson vissza a munkaterület ügyfél által felügyelt kulcsáról Key1-data értékre a munkaterületen a Key1 legújabb verziójával.

Megjegyzés

Azure Synapse Analytics nem titkosítja újra automatikusan az adatokat új kulcsverziók létrehozásakor. A munkaterület konzisztenciájának biztosítása érdekében kényszerítse az adatok újratitkosítását a fent részletezett eljárással.

SQL transzparens adattitkosítás szolgáltatás által felügyelt kulcsokkal

Az SQL Transzparens adattitkosítás (TDE) a dedikált SQL-készletekhez érhető el a kettős titkosításra nem engedélyezett munkaterületeken. Az ilyen típusú munkaterületen a szolgáltatás által felügyelt kulcs dupla titkosítást biztosít a dedikált SQL-készletekben lévő adatokhoz. A szolgáltatás által felügyelt kulccsal rendelkező TDE engedélyezhető vagy letiltható az egyes dedikált SQL-készletek esetében.

Parancsmagok Azure SQL Adatbázishoz és Azure Synapse

A TDE PowerShellen keresztüli konfigurálásához Azure-tulajdonosként, közreműködőként vagy SQL Security Managerként kell csatlakoznia.

Használja az alábbi parancsmagokat Azure Synapse munkaterülethez.

Parancsmag Leírás
Set-AzSynapseSqlPoolTransparentDataEncryption Engedélyezi vagy letiltja az SQL-készlet transzparens adattitkosítását.
Get-AzSynapseSqlPoolTransparentDataEncryption Lekéri egy SQL-készlet transzparens adattitkosítási állapotát.
New-AzSynapseWorkspaceKey Hozzáad egy Key Vault kulcsot egy munkaterülethez.
Get-AzSynapseWorkspaceKey Lekéri egy munkaterület Key Vault kulcsait
Update-AzSynapseWorkspace Beállítja egy munkaterület transzparens adattitkosítási védőjének beállítását.
Get-AzSynapseWorkspace Lekéri a transzparens adattitkosítási védőt
Remove-AzSynapseWorkspaceKey Eltávolít egy Key Vault kulcsot egy munkaterületről.

Következő lépések