مشاركة عبر

التشفير لمساحات عمل Azure Synapse Analytics

  • مقالة

ستصف هذه المقالة ما يلي:

  • تشفير البيانات الثابتة في مساحات عمل Synapse Analytics.
  • تكوين مساحات عمل Synapse لتمكين التشفير باستخدام مفتاح مدار من قبل العميل.
  • إدارة المفاتيح المستخدمة لتشفير البيانات في مساحات العمل.

تشفير البيانات الثابتة

يضمن حل التشفير في حالة الثبات الكامل عدم استمرار البيانات أبدًا في شكل غير مشفر. يعمل التشفير المزدوج للبيانات الثابتة على التخفيف من التهديدات بطبقتين منفصلتين من التشفير للحماية من الاختراقات لأي طبقة واحدة. يوفر Azure Synapse Analytics طبقة ثانية من التشفير للبيانات في مساحة العمل الخاصة بك باستخدام مفتاح يديره العميل. يتم حماية هذا المفتاح في Key Vault Azure، والذي يسمح لك بملكية إدارة المفاتيح والتناوب.

يتم تمكين الطبقة الأولى من التشفير لخدمات Azure باستخدام مفاتيح مدارة بواسطة النظام الأساسي. بشكل افتراضي، يتم تشفير أقراص Azure والبيانات في حسابات Azure Storage تلقائيا في حالة الثبات. تعرف على المزيد حول كيفية استخدام التشفير في Microsoft Azure في نظرة عامة على تشفير Azure.

إشعار

قد يتم إرسال بعض العناصر التي تعتبر محتوى العميل، مثل أسماء الجداول وأسماء الكائنات وأسماء الفهارس، في ملفات السجل للحصول على الدعم واستكشاف الأخطاء وإصلاحها من قبل Microsoft.

تشفير Azure Synapse

سيساعدك هذا القسم على فهم كيفية تمكين تشفير المفتاح الذي يديره العميل وفرضه في مساحات عمل Synapse بشكل أفضل. يستخدم هذا التشفير المفاتيح الموجودة أو المفاتيح الجديدة التي تم إنشاؤها في Azure Key Vault. يتم استخدام مفتاح واحد لتشفير جميع البيانات في مساحة عمل. تدعم مساحات عمل Synapse مفاتيح RSA 2048 و3072 بحجم البايت ومفاتيح RSA-HSM.

إشعار

لا تدعم مساحات عمل Synapse استخدام مفاتيح EC وEC-HSM وoct-HSM للتشفير.

يتم تشفير البيانات الموجودة في مكونات Synapse التالية باستخدام المفتاح المدار من قبل العميل الذي تم تكوينه على مستوى مساحة العمل:

  • تجمعات SQL
    • تجمعات SQL المخصصة
    • تجمعات SQL بلا خادم
  • اسم تجمعات Data Explorer
  • تجمعات Apache Spark
  • أوقات تشغيل تكامل Azure Data Factory، البنية الأساسية لبرنامج ربط العمليات التجارية، مجموعات البيانات.

تكوين تشفير مساحة العمل

يمكن تكوين مساحات العمل لتمكين التشفير المزدوج باستخدام مفتاح مدار من قبل العميل في وقت إنشاء مساحة العمل. تمكين التشفير المزدوج باستخدام مفتاح مدار من قبل العميل في علامة التبويب "الأمان" عند إنشاء مساحة العمل الجديدة. يمكنك اختيار إدخال معرف مفتاح URI أو التحديد من قائمة خزائن المفاتيح في نفس المنطقة مثل مساحة العمل. يحتاج Key Vault نفسه إلى تمكين الحماية من التطهير.

هام

لا يمكن تغيير إعداد التكوين للتشفير المزدوج بعد إنشاء مساحة العمل.

يعرض هذا الرسم التخطيطي الخيار الذي يجب تحديده لتمكين مساحة عمل للتشفير المزدوج باستخدام مفتاح يديره العميل.

الوصول إلى المفتاح وتنشيط مساحة العمل

يتضمن نموذج تشفير Azure Synapse مع مفاتيح يديرها العميل الوصول إلى مساحة العمل في Azure Key Vault للتشفير وفك التشفير حسب الحاجة. يتم الوصول إلى المفاتيح في مساحة العمل إما من خلال نهج الوصول أو Azure Key Vault RBAC. عند منح الأذونات عبر نهج وصول Azure Key Vault، اختر خيار "التطبيق فقط" في أثناء إنشاء النهج (حدد الهوية المدارة لمساحات العمل ولا تضيفها كتطبيق معتمد).

يجب منح الهوية المدارة لمساحة العمل الأذونات التي تحتاجها على مخزن المفاتيح قبل أن يمكن تنشيط مساحة العمل. يضمن هذا الأسلوب المرحلي لتنشيط مساحة العمل تشفير البيانات في مساحة العمل باستخدام المفتاح المدار من قبل العميل. يمكن تمكين التشفير أو تعطيله لتجمعات SQL المخصصة الفردية. لا يتم تمكين كل تجمع مخصص للتشفير بشكل افتراضي.

استخدام هوية مدارة معينة من قبل المستخدم

يمكن تكوين مساحات العمل لاستخدام هوية مدارة يعينها المستخدم للوصول إلى المفتاح المدار من قبل العميل المخزن في Azure Key Vault. تكوين هوية مدارة معينة من قبل المستخدم لتجنب التنشيط المرحلي لمساحة عمل Azure Synapse عند استخدام التشفير المزدوج مع المفاتيح التي يديرها العميل. مطلوب دور مساهم الهوية المدارة المضمن لتعيين هوية مدارة معينة من قبل المستخدم إلى مساحة عمل Azure Synapse.

إشعار

لا يمكن تكوين الهوية المدارة المعينة من قبل المستخدم للوصول إلى المفتاح المدار من قبل العميل عندما يكون Azure Key Vault خلف جدار حماية.

يعرض هذا الرسم التخطيطي الخيار الذي يجب تحديده لتمكين مساحة عمل من استخدام الهوية المدارة المعينة من قبل المستخدم للتشفير المزدوج باستخدام مفتاح مدار من قبل العميل.

الأذونات

لتشفير البيانات الثابتة أو فك تشفيرها، يجب أن يكون للهوية المدارة الأذونات التالية. وبالمثل، إذا كنت تستخدم قالب Resource Manager لإنشاء مفتاح جديد، يجب أن يكون للمعلمة "keyOps" للقالب الأذونات التالية:

  • WrapKey (لإدراج مفتاح في Key Vault عند إنشاء مفتاح جديد).
  • UnwrapKey (للحصول على مفتاح فك التشفير).
  • Get (لقراءة الجزء العام من مفتاح)

تنشيط مساحة العمل

إذا لم تقم بتكوين هوية مدارة معينة من قبل المستخدم للوصول إلى المفاتيح المدارة من قبل العميل في أثناء إنشاء مساحة العمل، فستظل مساحة العمل في حالة "معلق" حتى ينجح التنشيط. يجب تنشيط مساحة العمل قبل أن تتمكن من استخدام جميع الوظائف بشكل كامل. على سبيل المثال، يمكنك فقط إنشاء تجمع SQL مخصص جديد بمجرد نجاح التنشيط. امنح الوصول إلى الهوية المدارة لمساحة العمل إلى مخزن المفاتيح وحدد رابط التنشيط في شعار مدخل Microsoft Azure لمساحة العمل. بمجرد اكتمال التنشيط بنجاح، تصبح مساحة العمل الخاصة بك جاهزة للاستخدام مع ضمان أن جميع البيانات الموجودة فيها محمية بالمفتاح الذي يديره العميل. كما ذكر سابقًا، يجب أن يكون لدى مخزن المفاتيح حماية إزالة ممكنة للتنشيط للنجاح.

يعرض هذا الرسم التخطيطي الشعار مع ارتباط التنشيط لمساحة العمل.

إدارة مفتاح مساحة العمل الذي يديره العميل

يمكنك تغيير المفتاح المدار من قبل العميل المستخدم لتشفير البيانات من صفحة التشفير في مدخل Microsoft Azure. هنا أيضًا، يمكنك اختيار مفتاح جديد باستخدام معرف مفتاح أو التحديد من Key Vaults التي يمكنك الوصول إليها في نفس المنطقة مثل مساحة العمل. إذا اخترت مفتاحًا في مخزن مفاتيح مختلف عن تلك المستخدمة سابقًا، فامنح أذونات الهوية المدارة لمساحة العمل "Get" و"Wrap" و"Unwrap" على مخزن المفاتيح الجديد. ستتحقق مساحة العمل من وصولها إلى مخزن المفاتيح الجديد وستتم إعادة تشفير جميع البيانات في مساحة العمل باستخدام المفتاح الجديد.

يعرض هذا الرسم التخطيطي قسم تشفير مساحة العمل في مدخل Microsoft Azure.

هام

عند تغيير مفتاح التشفير لمساحة عمل، احتفظ بالمفتاح القديم حتى تقوم باستبداله في مساحة العمل بمفتاح جديد. يسمح هذا بفك تشفير البيانات باستخدام المفتاح القديم قبل إعادة تشفيرها باستخدام المفتاح الجديد. لا تؤثر حالة تجمع SQL (متصل/غير متصل) على عملية تدوير المفتاح المدار بواسطة عميل مساحة العمل (CMK).

  • ستظل تجمعات SQL غير المتصلة أثناء تدوير CMK مشفرة بالمفتاح القديم أو إصدار المفتاح. إذا تم تعطيل المفتاح القديم أو إصدار المفتاح أو انتهت صلاحيته، فلن تستأنف التجمعات لأن فك التشفير غير ممكن. عند استئناف هذه التجمعات، يجب تمكين المفتاح القديم أو إصدار المفتاح 1) و2) تعيين تاريخ انتهاء صلاحية في المستقبل للسماح بفك التشفير وإعادة التشفير اللاحقة باستخدام المفتاح الجديد أو إصدار المفتاح الجديد.

  • لضمان تدوير CMK سلس، إذا كانت بعض تجمعات SQL غير متصلة أثناء العملية، يجب أن يظل المفتاح القديم أو إصدار المفتاح ممكنا وأن يكون تاريخ انتهاء صلاحيته محددا في المستقبل. هذا أمر بالغ الأهمية حتى يتم استئناف التجمعات دون اتصال بنجاح وإعادة تشفيرها باستخدام المفتاح الجديد أو إصدار المفتاح الجديد.

  • يوصى بشدة بعدم حذف المفاتيح القديمة أو إصدارات المفاتيح، حيث قد تكون هناك حاجة إليها لفك تشفير النسخ الاحتياطية. بدلا من ذلك، بعد إعادة تشفير جميع تجمعات SQL باستخدام المفتاح الجديد أو إصدار المفتاح الجديد، قم بتعطيل المفتاح القديم أو إصدار المفتاح. يضمن هذا بقاء المفتاح القديم أو إصدار المفتاح متوفرا لفك تشفير النسخ الاحتياطية القديمة إذا لزم الأمر.

يمكن أن تؤدي نهج Azure Key Vaults للتناوب التلقائي والدوري للمفاتيح أو الإجراءات على المفاتيح إلى إنشاء إصدارات مفاتيح جديدة. يمكنك اختيار إعادة تشفير جميع البيانات في مساحة العمل باستخدام أحدث إصدار من المفتاح النشط. لإعادة التشفير، قم بتغيير المفتاح في مدخل Microsoft Azure إلى مفتاح مؤقت ثم قم بالتبديل مرة أخرى إلى المفتاح الذي ترغب في استخدامه للتشفير. على سبيل المثال، لتحديث تشفير البيانات باستخدام أحدث إصدار من المفتاح النشط Key1، قم بتغيير المفتاح المدار بواسطة العميل لمساحة العمل إلى مفتاح مؤقت، Key2. انتظر حتى ينتهي التشفير باستخدام Key2. ثم قم بتبديل المفتاح المدار من قبل العميل لمساحة العمل مرة أخرى إلى بيانات Key1 في مساحة العمل ستتم إعادة تشفيرها باستخدام أحدث إصدار من Key1.

إشعار

لا يقوم Azure Synapse Analytics تلقائيًا بإعادة تشفير البيانات عند إنشاء إصدارات رئيسية جديدة. لضمان الاتساق في مساحة العمل الخاصة بك، يجبر إعادة تشفير البيانات باستخدام العملية المفصلة أعلاه.

تشفير البيانات الشفاف لـ SQL باستخدام مفاتيح مدارة بواسطة الخدمة

يتوفر تشفير البيانات الشفاف SQL (TDE) لتجمعات SQL المخصصة في مساحات العمل غير الممكنة للتشفير المزدوج. في هذا النوع من مساحة العمل، يتم استخدام مفتاح مدار بواسطة الخدمة لتوفير تشفير مزدوج للبيانات في تجمعات SQL المخصصة. يمكن تمكين TDE مع المفتاح المدار بواسطة الخدمة أو تعطيله لتجمعات SQL المخصصة الفردية.

Cmdlets لقاعدة بيانات SQL Azure وAzure Synapse

لتكوين TDE من خلال PowerShell، يجب أن تكون متصلاً من خلال الدور كمالك لحساب Azure أو مساهم أو مدير أمان SQL.

استخدم cmdlets التالية لمساحة عمل Azure Synapse.

Cmdlet ‏‏الوصف
Set-AzSynapseSqlPoolTransparentDataEncryption تمكين تشفير البيانات الشفافة لتجمع SQL أو تعطيله.
Get-AzSynapseSqlPoolTransparentDataEncryption يحصل على حالة تشفير البيانات الشفافة لتجمع SQL.
New-AzSynapseWorkspaceKey إضافة مفتاح Key Vault إلى مساحة عمل.
Get-AzSynapseWorkspaceKey الحصول على مفاتيح Key Vault لمساحة عمل
Update-AzSynapseWorkspace تعيين أداة حماية تشفير البيانات الشفافة لمساحة عمل.
Get-AzSynapseWorkspace يُمكنك من الحصول على حامي تشفير البيانات الشفاف
Remove-AzSynapseWorkspaceKey إزالة مفتاح Key Vault من مساحة عمل.

المحتوى ذو الصلة