Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje:
- Šifrování dat v klidu v pracovních prostorech Synapse Analytics.
- Konfigurace pracovních prostorů Synapse pro povolení šifrování pomocí klíče spravovaného zákazníkem
- Správa klíčů používaných k šifrování dat v pracovních prostorech
Šifrování neaktivních uložených dat
Kompletní řešení šifrování v klidovém stavu zajišťuje, že data se nikdy neuchovávají v nezašifrované podobě. Dvojité šifrování neaktivních uložených dat snižuje hrozby se dvěma samostatnými vrstvami šifrování, které chrání před ohrožením jakékoli jedné vrstvy. Azure Synapse Analytics nabízí druhou vrstvu šifrování dat ve vašem pracovním prostoru s klíčem spravovaným zákazníkem. Tento klíč je chráněn ve službě Azure Key Vault, což umožňuje převzít vlastnictví správy a obměny klíčů.
První vrstva šifrování služeb Azure je povolená pomocí klíčů spravovaných platformou. Ve výchozím nastavení jsou disky a data v účtech Azure Storage automaticky šifrovány v klidu. Další informace o tom, jak se šifrování používá v Microsoft Azure, najdete v přehledu služby Azure Encryption.
Poznámka:
Některé položky považované za zákaznický obsah, jako jsou názvy tabulek, názvy objektů a názvy indexů, se můžou přenášet v souborech protokolů pro podporu a řešení potíží od Microsoftu.
Šifrování Azure Synapse
Tato část vám pomůže lépe pochopit, jak je povolené a vynucované šifrování klíčů spravované zákazníkem v pracovních prostorech Synapse. Toto šifrování používá existující klíče nebo nové klíče vygenerované ve službě Azure Key Vault. Jeden klíč slouží k šifrování všech dat v pracovním prostoru. Pracovní prostory Synapse podporují klíče velikosti bajtů RSA 2048 a 3072 a klíče RSA-HSM.
Poznámka:
Pracovní prostory Synapse nepodporují použití klíčů EC, EC-HSM a oct-HSM pro šifrování.
Data v následujících komponentách Synapse se šifrují pomocí klíče spravovaného zákazníkem nakonfigurovaným na úrovni pracovního prostoru:
- SQL skupiny
- Vyhrazené fondy SQL
- Bezserverové fondy SQL
- Fondy pro průzkum dat
- Fondy Apache Sparku
- Azure Data Factory Integration Runtimes, kanály, datové sady.
Konfigurace šifrování pracovního prostoru
Pracovní prostory je možné nakonfigurovat tak, aby při vytváření pracovního prostoru povolovaly dvojité šifrování pomocí klíče spravovaného zákazníkem. Při vytváření nového pracovního prostoru povolte dvojité šifrování pomocí klíče spravovaného zákazníkem na kartě Zabezpečení. Můžete zadat URI identifikátoru klíče nebo vybrat ze seznamu trezorů klíčů ve stejné oblasti jako pracovní prostor. Samotná služba Key Vault musí mít povolenou ochranu před vymazáním.
Důležité
Nastavení konfigurace pro dvojité šifrování nelze po vytvoření pracovního prostoru změnit.
Přístup ke klíči a aktivace pracovního prostoru
Model šifrování Azure Synapse s klíči spravovanými zákazníkem zahrnuje pracovní prostor, který přistupuje ke klíčům ve službě Azure Key Vault a podle potřeby je šifruje a dešifruje. Klíče jsou zpřístupněny pracovnímu prostoru buď prostřednictvím zásady přístupu, nebo řízení přístupu na základě role (RBAC) v Azure Key Vault. Při udělování oprávnění prostřednictvím zásad přístupu ke službě Azure Key Vault zvolte během vytváření zásad možnost Pouze aplikace (vyberte spravovanou identitu pracovních prostorů a nepřidávejte ji jako autorizovanou aplikaci).
Spravovaná identita pracovního prostoru musí mít v trezoru na klíče udělená potřebná oprávnění, než může být pracovní prostor aktivován. Tento fázovaný přístup k aktivaci pracovního prostoru zajišťuje šifrování dat v pracovním prostoru pomocí klíče spravovaného zákazníkem. Pro jednotlivé vyhrazené fondy SQL je možné povolit nebo zakázat šifrování. Každý vyhrazený fond není ve výchozím nastavení povolený pro šifrování.
Použití spravované identity přiřazené uživatelem
Pracovní prostory je možné nakonfigurovat tak, aby používaly spravovanou identitu přiřazenou uživatelem pro přístup k klíči spravovanému zákazníkem uloženým ve službě Azure Key Vault. Nakonfigurujte spravovanou identitu přiřazenou uživatelem, aby se zabránilo postupné aktivaci pracovního prostoru Azure Synapse při použití dvojitého šifrování s klíči spravovanými zákazníkem. Předdefinovaná role Přispěvatel spravované identity je nutná k přiřazení spravované identity přiřazené uživatelem k pracovnímu prostoru Azure Synapse.
Poznámka:
Uživatelsky přiřazenou spravovanou identitu nelze nakonfigurovat pro přístup ke klíči spravovanému zákazníkem, pokud je Azure Key Vault chráněný bránou firewall.
Oprávnění
Pokud chcete šifrovat nebo dešifrovat neaktivní uložená data, musí mít spravovaná identita následující oprávnění. Podobně pokud k vytvoření nového klíče používáte šablonu Resource Manageru, musí mít parametr keyOps šablony následující oprávnění:
- WrapKey (pro vložení klíče do služby Key Vault při vytváření nového klíče)
- UnwrapKey (pro získání klíče pro dešifrování).
- Načtení (čtení veřejné části klíče)
Aktivace pracovního prostoru
Pokud během vytváření pracovního prostoru nenakonfigurujete spravovanou identitu přiřazenou uživatelem pro přístup ke klíčům spravovaným zákazníkem, zůstane váš pracovní prostor ve stavu Čeká na vyřízení, dokud nebude aktivace úspěšná. Aby bylo možné plně používat všechny funkce, je nutné pracovní prostor aktivovat. Například můžete vytvořit nový vyhrazený fond SQL pouze po úspěšném aktivaci. Udělte spravované identitě pracovního prostoru přístup k trezoru klíčů a v banneru webu Azure Portal pracovního prostoru vyberte aktivační odkaz. Po úspěšném dokončení aktivace je váš pracovní prostor připravený k použití s jistotou, že všechna data v ní jsou chráněná klíčem spravovaným zákazníkem. Již dříve bylo uvedeno, že trezor klíčů musí mít povolenou ochranu před vymazáním, aby aktivace byla úspěšná.
Správa klíče pracovního prostoru spravovaného zákazníkem
Klíč spravovaný zákazníkem, který se používá k šifrování dat, můžete změnit na stránce Šifrování na webu Azure Portal. Tady můžete také zvolit nový klíč pomocí identifikátoru klíče nebo vybrat ze služby Key Vault, ke kterým máte přístup ve stejné oblasti jako pracovní prostor. Pokud zvolíte klíč v jiném trezoru klíčů, než který jste použili dříve, udělte identitě spravované pracovním prostorem oprávnění Get, Wrap a Unwrap u nového trezoru klíčů. Pracovní prostor ověří přístup k novému trezoru klíčů a všechna data v pracovním prostoru se znovu zašifrují pomocí nového klíče.
Důležité
Při změně šifrovacího klíče pracovního prostoru zachovejte starý klíč, dokud ho nenahradíte v pracovním prostoru novým klíčem. To umožňuje dešifrování dat pomocí starého klíče předtím, než se znovu zašifruje pomocí nového klíče. Stav fondu SQL (Online nebo Offline) nemá vliv na proces rotace zákaznicky spravovaného klíče (CMK) ve workspace.
SQL fondy, které jsou offline během obměny klíče CMK, zůstanou šifrované pomocí starého klíče nebo verze klíče. Pokud je starý klíč nebo verze klíče zakázána nebo vypršela jeho platnost, fondy nebudou moci obnovit svou činnost, protože dešifrování není možné. Po obnovení těchto fondů musí být starý klíč nebo verze klíče 1) povolená a 2) musí mít datum vypršení platnosti nastavené v budoucnu, aby bylo možné dešifrování a následné opětovné šifrování pomocí nového klíče nebo verze klíče.
Aby se zajistila hladká rotace CMK, pokud jsou některé fondy SQL offline během procesu, původní klíč nebo verze klíče by měly zůstat povolené a mít v budoucnu nastavené datum vypršení platnosti. Je to zásadní, dokud nebudou offline fondy úspěšně obnoveny a znovu zašifrovány pomocí nového klíče nebo klíčové verze.
Důrazně doporučujeme neodstraňovat staré klíče nebo verze klíčů, protože je stále potřeba k dešifrování záloh. Místo toho po opětovném zašifrování všech fondů SQL pomocí nového klíče nebo verze klíče zakažte starý klíč nebo verzi klíče. Tím zajistíte, že starý klíč nebo verze klíče zůstanou k dispozici pro dešifrování starších záloh v případě potřeby.
Zásady služby Azure Key Vault pro automatické, pravidelné obměně klíčů nebo akce s klíči můžou vést k vytvoření nových verzí klíčů. Všechna data v pracovním prostoru můžete znovu zašifrovat pomocí nejnovější verze aktivního klíče. Pokud chcete klíč znovu zašifrovat, změňte klíč na webu Azure Portal na dočasný klíč a pak přepněte zpět na klíč, který chcete použít k šifrování. Pokud chcete například aktualizovat šifrování dat pomocí nejnovější verze aktivního klíče Key1, změňte klíč spravovaný zákazníkem pracovního prostoru na dočasný klíč Key2. Počkejte na dokončení šifrování pomocí klíče Key2. Poté přepněte klíč spravovaný zákazníkem pracovního prostoru zpět na Key1. Data v pracovním prostoru budou znovu zašifrována pomocí nejnovější verze Key1.
Poznámka:
Azure Synapse Analytics při vytváření nových verzí klíčů automaticky nešifruje data. Pokud chcete zajistit konzistenci v pracovním prostoru, vynuťte opětovné šifrování dat pomocí výše uvedeného procesu.
SQL transparentní šifrování dat s klíči spravovanými službou
SQL Transparentní šifrování dat (TDE) je k dispozici pro vyhrazené SQL pooly v pracovních prostorech, které nejsou povoleny pro dvojité šifrování. V tomto typu pracovního prostoru slouží klíč spravovaný službou k zajištění dvojitého šifrování dat ve vyhrazených fondech SQL. TDE s klíčem spravovaným službou je možné povolit nebo zakázat pro jednotlivé vyhrazené fondy SQL.
Cmdlety pro Azure SQL Database a Azure Synapse
Pokud chcete nakonfigurovat transparentní šifrování dat prostřednictvím PowerShellu, musíte být připojeni jako vlastník Azure, přispěvatel Azure nebo správce zabezpečení SQL.
Pro pracovní prostor Azure Synapse použijte následující rutiny.
| Příkaz cmdlet | Popis |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Povolí nebo zakáže transparentní šifrování dat pro fond SQL. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Získá transparentní stav šifrování dat pro fond SQL. |
| New-AzSynapseWorkspaceKey | Přidá klíč z Key Vault do pracovního prostoru. |
| Get-AzSynapseWorkspaceKey | Získá klíče služby Key Vault pro pracovní prostor. |
| Update-AzSynapseWorkspace | Nastaví ochranu transparentního šifrování dat pro pracovní prostor. |
| Get-AzSynapseWorkspace | Získá transparentní ochranu šifrování dat. |
| Remove-AzSynapseWorkspaceKey | Odebere klíč služby Key Vault z pracovního prostoru. |