Dokument white paper o zabezpečení Azure Synapse Analytics: Ochrana dat

  • Článek

Poznámka:

Tento článek je součástí dokumentu white paper o zabezpečení Azure Synapse Analytics. Přehled této řady najdete v dokumentu white paper o zabezpečení služby Azure Synapse Analytics.

Zjišťování a klasifikace dat

Organizace musí chránit svá data, aby dodržovaly federální, místní a firemní pokyny, aby se zmírnit rizika porušení zabezpečení dat. Jednou z výzev organizace je: Jak chráníte data, pokud nevíte, kde jsou? Další je: Jakou úroveň ochrany je potřeba?– protože některé datové sady vyžadují větší ochranu než jiné.

Představte si, že organizace má stovky nebo tisíce souborů uložených ve svém datovém jezeře a stovky nebo tisíce tabulek v databázích. Výhodou by byl proces, který automaticky prohledává každý řádek a sloupec systému souborů nebo tabulky a klasifikuje sloupce jako potenciálně citlivá data. Tento proces se označuje jako zjišťování dat.

Po dokončení procesu zjišťování dat poskytuje doporučení klasifikace na základě předdefinované sady vzorů, klíčových slov a pravidel. Někdo pak může zkontrolovat doporučení a použít popisky klasifikace citlivosti na příslušné sloupce. Tento proces se označuje jako klasifikace.

Azure Synapse nabízí dvě možnosti pro zjišťování a klasifikaci dat:

  • Zjišťování a klasifikace dat, která je integrovaná do Azure Synapse a vyhrazeného fondu SQL (dříve SQL DW).
  • Microsoft Purview, což je jednotné řešení zásad správného řízení dat, které pomáhá spravovat a řídit místní, multicloudová a softwarová data jako služba (SaaS). Může automatizovat zjišťování dat, identifikaci rodokmenu a klasifikaci dat. Díky vytvoření sjednocené mapy datových prostředků a jejich vztahů je data snadno zjistitelná.

Poznámka:

Zjišťování a klasifikace dat Microsoft Purview je ve verzi Public Preview pro Azure Synapse, vyhrazený fond SQL (dříve SQL DW) a bezserverový fond SQL. Rodokmen dat se v současné době nepodporuje pro Azure Synapse, vyhrazený fond SQL (dříve SQL DW) a bezserverový fond SQL. Fond Apache Sparku podporuje pouze sledování rodokmenu.

Šifrování dat

Neaktivní uložená data jsou šifrovaná a přenášená.

Neaktivní uložená data

Azure Storage ve výchozím nastavení automaticky šifruje všechna data pomocí 256bitového standardního šifrování (AES 256). Je to jeden z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Platforma spravuje šifrovací klíč a tvoří první vrstvu šifrování dat. Toto šifrování platí pro uživatelské i systémové databáze, včetně hlavní databáze.

Povolení transparentní šifrování dat (TDE) může přidat druhou vrstvu šifrování dat pro vyhrazené fondy SQL. Provádí šifrování vstupně-výstupních operací v reálném čase a dešifrování souborů databáze, souborů transakčních protokolů a záloh v klidovém stavu bez nutnosti jakýchkoli změn aplikace. Ve výchozím nastavení používá AES 256.

Transparentní šifrování dat ve výchozím nastavení chrání šifrovací klíč databáze (DEK) pomocí integrovaného certifikátu serveru (spravovaného službou). Existuje možnost použít vlastní klíč (BYOK), který je možné bezpečně uložit ve službě Azure Key Vault.

Bezserverový fond Azure Synapse SQL a fond Apache Spark jsou analytické moduly, které pracují přímo na Azure Data Lake Gen2 (ALDS Gen2) nebo Azure Blob Storage. Tyto analytické moduly runtime nemají trvalé úložiště a spoléhají na technologie šifrování azure Storage pro ochranu dat. Azure Storage ve výchozím nastavení šifruje všechna data pomocí šifrování na straně serveru (SSE). Je povolená pro všechny typy úložiště (včetně ADLS Gen2) a není možné ho zakázat. SSE šifruje a dešifruje data transparentně pomocí AES 256.

Existují dvě možnosti šifrování SSE:

  • Klíče spravované Microsoftem: Microsoft spravuje všechny aspekty šifrovacího klíče, včetně úložiště klíčů, vlastnictví a obměny. Pro zákazníky je zcela transparentní.
  • Klíče spravované zákazníkem: V tomto případě se symetrický klíč použitý k šifrování dat ve službě Azure Storage šifruje pomocí klíče poskytnutého zákazníkem. Podporuje klíče RSA a RSA-HSM (moduly hardwarového zabezpečení) velikostí 2048, 3072 a 4096. Klíče je možné bezpečně uložit ve službě Azure Key Vault nebo ve spravovaném HSM služby Azure Key Vault. Poskytuje podrobné řízení přístupu ke klíči a jeho správě, včetně úložiště, zálohování a obměny. Další informace najdete v tématu Klíče spravované zákazníkem pro šifrování služby Azure Storage.

I když SSE tvoří první vrstvu šifrování, opatrní zákazníci můžou dvojité šifrování tím, že povolí druhou vrstvu 256bitového šifrování AES ve vrstvě infrastruktury služby Azure Storage. Označuje se jako šifrování infrastruktury, používá klíč spravovaný platformou společně s odděleným klíčem od SSE. Data v účtu úložiště se tedy šifrují dvakrát; na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a různými klíči.

Přenášená data

Azure Synapse, vyhrazený fond SQL (dříve SQL DW) a bezserverový fond SQL používají ke komunikaci mezi koncovým bodem fondu SQL a klientským počítačem protokol TDS (Tabular Data Stream ). TDS závisí na protokolu TLS (Transport Layer Security) pro šifrování kanálu a zajišťuje zabezpečení a šifrování všech datových paketů mezi koncovým bodem a klientským počítačem. Používá podepsaný certifikát serveru od certifikační autority (CA) používaného k šifrování TLS spravovaného Microsoftem. Azure Synapse podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 pomocí šifrování AES 256.

Azure Synapse využívá protokol TLS k zajištění šifrování přenášených dat. Vyhrazené fondy SQL podporují verze TLS 1.0, TLS 1.1 a TLS 1.2 pro šifrování, kde ve výchozím nastavení ovladače poskytované společností Microsoft používají protokol TLS 1.2. Bezserverový fond SQL a fond Apache Sparku používají protokol TLS 1.2 pro všechna odchozí připojení.

Další kroky

V dalším článku této série white paper se dozvíte o řízení přístupu.