Titkosítás Azure Synapse Analytics-munkaterületekhez
Ez a cikk a következőket ismerteti:
- Inaktív adatok titkosítása a Synapse Analytics-munkaterületeken.
- Synapse-munkaterületek konfigurálása az ügyfél által felügyelt kulccsal történő titkosítás engedélyezéséhez.
- A munkaterületek adatainak titkosításához használt kulcsok kezelése.
Inaktív adatok titkosítása
A teljes inaktív titkosítási megoldás biztosítja, hogy az adatok soha ne maradnak titkosítatlan formában. Az inaktív adatok kettős titkosítása két, különálló titkosítási réteggel csökkenti a fenyegetéseket, hogy védelmet nyújtsunk az egyrétegű biztonsági rések ellen. Azure Synapse Analytics egy második titkosítási réteget kínál a munkaterületen lévő adatokhoz egy ügyfél által felügyelt kulccsal. Ezt a kulcsot az Azure Key Vault védi, amely lehetővé teszi a kulcskezelés és -rotáció tulajdonjogának átvételét.
Az Azure-szolgáltatások első titkosítási rétege platform által felügyelt kulcsokkal van engedélyezve. Alapértelmezés szerint az Azure Storage-fiókokban lévő Azure-lemezek és -adatok inaktív állapotban automatikusan titkosítva vannak. További információ a Titkosítás használatáról a Microsoft Azure-ban az Azure Encryption áttekintésében.
Megjegyzés
Egyes ügyféltartalomnak tekintett elemeket, például a táblaneveket, az objektumneveket és az indexneveket a Microsoft a naplófájlokban továbbíthatja támogatás és hibaelhárítás céljából.
Azure Synapse titkosítás
Ez a szakasz segít jobban megérteni, hogyan engedélyezve és kényszerítve van az ügyfél által felügyelt kulcstitkosítás a Synapse-munkaterületeken. Ez a titkosítás az Azure Key Vault-ban létrehozott meglévő kulcsokat vagy új kulcsokat használja. Egyetlen kulccsal titkosítja a munkaterület összes adatát. A Synapse-munkaterületek támogatják az RSA 2048 és 3072 bájt méretű kulcsokat, valamint az RSA-HSM kulcsokat.
Megjegyzés
A Synapse-munkaterületek nem támogatják az EC-, EC-HSM- és okt-HSM-kulcsok titkosítását.
A következő Synapse-összetevők adatai a munkaterület szintjén konfigurált, ügyfél által felügyelt kulccsal lesznek titkosítva:
- SQL-készletek
- Dedikált SQL-készletek
- Kiszolgáló nélküli SQL-készletek
- Data Explorer készletek
- Apache Spark-készletek
- Azure Data Factory integrációs modulokat, folyamatokat és adatkészleteket.
Munkaterület titkosítási konfigurációja
A munkaterületek úgy konfigurálhatók, hogy a munkaterület létrehozásakor ügyfél által felügyelt kulccsal engedélyezzenek kettős titkosítást. Engedélyezze a kettős titkosítást egy ügyfél által felügyelt kulccsal a "Biztonság" lapon az új munkaterület létrehozásakor. Megadhatja a kulcsazonosító URI-ját, vagy választhat a munkaterületével azonos régióban található kulcstartók listájából. Magának a Key Vault engedélyeznie kell a végleges törlés elleni védelmet.
Fontos
A dupla titkosítás konfigurációs beállítása nem módosítható a munkaterület létrehozása után.
Kulcshozzáférés és munkaterület aktiválása
Az ügyfél által felügyelt kulcsokkal rendelkező Azure Synapse titkosítási modellbe beletartozik, hogy a munkaterület hozzáfér a kulcsokhoz az Azure Key Vault, hogy szükség szerint titkosíthassa és visszafejthesse. A kulcsok hozzáférés-szabályzattal vagy azure Key Vault RBAC-vel érhetők el a munkaterület számára. Amikor engedélyeket ad meg egy Azure Key Vault hozzáférési szabályzaton keresztül, válassza az "Csak alkalmazás" lehetőséget a szabályzat létrehozásakor (válassza ki a munkaterületek felügyelt identitását, és ne adja hozzá engedélyezett alkalmazásként).
A munkaterület felügyelt identitásának meg kell adni a kulcstartóhoz szükséges engedélyeket a munkaterület aktiválása előtt. A munkaterület aktiválásának ezen szakaszos megközelítése biztosítja, hogy a munkaterületen lévő adatok az ügyfél által felügyelt kulccsal titkosítva lesznek. A titkosítás engedélyezhető vagy letiltható az egyes dedikált SQL-készletek esetében. Alapértelmezés szerint nincs engedélyezve minden dedikált készlet titkosításhoz.
Felhasználó által hozzárendelt felügyelt identitás használata
A munkaterületek konfigurálhatók úgy, hogy felhasználó által hozzárendelt felügyelt identitással férhessenek hozzá az Azure Key Vault tárolt ügyfél által felügyelt kulcshoz. Konfiguráljon egy felhasználó által hozzárendelt felügyelt identitást, hogy elkerülje a Azure Synapse-munkaterület szakaszos aktiválását az ügyfél által felügyelt kulcsokkal végzett kettős titkosítás használatakor. A Felügyelt identitás közreműködője beépített szerepkör szükséges ahhoz, hogy felhasználó által hozzárendelt felügyelt identitást rendeljen egy Azure Synapse-munkaterülethez.
Megjegyzés
A felhasználó által hozzárendelt felügyelt identitás nem konfigurálható az ügyfél által felügyelt kulcs elérésére, ha az Azure Key Vault tűzfal mögött található.
Engedélyek
Az inaktív adatok titkosításához vagy visszafejtéséhez a felügyelt identitásnak a következő engedélyekkel kell rendelkeznie. Hasonlóképpen, ha Resource Manager sablont használ egy új kulcs létrehozásához, a sablon "keyOps" paraméterének a következő engedélyekkel kell rendelkeznie:
- WrapKey (kulcs beszúrása Key Vault új kulcs létrehozásakor).
- UnwrapKey (a visszafejtéshez szükséges kulcs lekéréséhez).
- Lekérés (egy kulcs nyilvános részének olvasásához)
Munkaterület aktiválása
Ha nem konfigurál felhasználó által hozzárendelt felügyelt identitást az ügyfél által felügyelt kulcsok eléréséhez a munkaterület létrehozása során, a munkaterület "Függőben" állapotban marad, amíg az aktiválás sikeres nem lesz. A munkaterületet aktiválni kell, mielőtt teljes mértékben használhatja az összes funkciót. Például csak akkor hozhat létre új dedikált SQL-készletet, ha az aktiválás sikeres volt. Adjon hozzáférést a munkaterület felügyelt identitásának a kulcstartóhoz, és válassza az aktiválási hivatkozást a munkaterületen Azure Portal szalagcímen. Miután az aktiválás sikeresen befejeződött, a munkaterület készen áll a használatra azzal a garanciával, hogy a benne lévő összes adat védve van az ügyfél által kezelt kulccsal. Ahogy korábban említettük, a kulcstartónak engedélyeznie kell a végleges törlés elleni védelmet az aktiválás sikerességéhez.
A munkaterület ügyfél által kezelt kulcsának kezelése
Az adatok titkosításához használt ügyfél által kezelt kulcsot a Azure Portal Titkosítás lapján módosíthatja. Itt is kiválaszthat egy új kulcsot egy kulcsazonosítóval, vagy kiválaszthatja azokat a Kulcstartókat, amelyekhez hozzáféréssel rendelkezik a munkaterületével azonos régióban. Ha a korábban használt kulcstartótól eltérő kulcstartóban választ kulcsot, adjon a munkaterület által felügyelt identitásnak "Get", "Wrap" és "Unwrap" engedélyeket az új kulcstartón. A munkaterület ellenőrzi az új kulcstartóhoz való hozzáférését, és a munkaterület összes adata újra lesz titkosítva az új kulccsal.
Fontos
Egy munkaterület titkosítási kulcsának módosításakor őrizze meg a kulcsot, amíg a munkaterületen nem cseréli le egy új kulcsra. Ez lehetővé teszi az adatok visszafejtést a régi kulccsal, mielőtt újra titkosítanák az új kulccsal.
Az Azure Key Vault-szabályzatok a kulcsok automatikus, rendszeres rotálásához vagy a kulcsokon végzett műveletekhez új kulcsverziók létrehozását eredményezhetik. Dönthet úgy, hogy újra titkosítja a munkaterületen lévő összes adatot az aktív kulcs legújabb verziójával. Az újratitkosításhoz módosítsa a Azure Portal kulcsát ideiglenes kulcsra, majd váltson vissza a titkosításhoz használni kívánt kulcsra. Ha például az aktív kulcs1 legújabb verziójával szeretné frissíteni az adattitkosítást, módosítsa a munkaterület ügyfél által kezelt kulcsát ideiglenes kulcsra( Key2). Várja meg, amíg befejeződik a Key2 titkosítása. Ezután váltson vissza a munkaterület ügyfél által felügyelt kulcsáról Key1-data értékre a munkaterületen a Key1 legújabb verziójával.
Megjegyzés
Azure Synapse Analytics nem titkosítja újra automatikusan az adatokat új kulcsverziók létrehozásakor. A munkaterület konzisztenciájának biztosítása érdekében kényszerítse az adatok újratitkosítását a fent részletezett eljárással.
SQL transzparens adattitkosítás szolgáltatás által felügyelt kulcsokkal
Az SQL Transzparens adattitkosítás (TDE) a dedikált SQL-készletekhez érhető el a kettős titkosításra nem engedélyezett munkaterületeken. Az ilyen típusú munkaterületen a szolgáltatás által felügyelt kulcs dupla titkosítást biztosít a dedikált SQL-készletekben lévő adatokhoz. A szolgáltatás által felügyelt kulccsal rendelkező TDE engedélyezhető vagy letiltható az egyes dedikált SQL-készletek esetében.
Parancsmagok Azure SQL Adatbázishoz és Azure Synapse
A TDE PowerShellen keresztüli konfigurálásához Azure-tulajdonosként, közreműködőként vagy SQL Security Managerként kell csatlakoznia.
Használja az alábbi parancsmagokat Azure Synapse munkaterülethez.
Parancsmag | Leírás |
---|---|
Set-AzSynapseSqlPoolTransparentDataEncryption | Engedélyezi vagy letiltja az SQL-készlet transzparens adattitkosítását. |
Get-AzSynapseSqlPoolTransparentDataEncryption | Lekéri egy SQL-készlet transzparens adattitkosítási állapotát. |
New-AzSynapseWorkspaceKey | Hozzáad egy Key Vault kulcsot egy munkaterülethez. |
Get-AzSynapseWorkspaceKey | Lekéri egy munkaterület Key Vault kulcsait |
Update-AzSynapseWorkspace | Beállítja egy munkaterület transzparens adattitkosítási védőjének beállítását. |
Get-AzSynapseWorkspace | Lekéri a transzparens adattitkosítási védőt |
Remove-AzSynapseWorkspaceKey | Eltávolít egy Key Vault kulcsot egy munkaterületről. |