Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje:
- Šifrování dat v klidu v pracovních prostorech Synapse Analytics.
- Konfigurace pracovních prostorů Synapse pro povolení šifrování pomocí klíče spravovaného zákazníkem
- Správa klíčů používaných k šifrování dat v pracovních prostorech
Šifrování neaktivních uložených dat
Kompletní řešení šifrování v klidovém stavu zajišťuje, že data se nikdy neuchovávají v nezašifrované podobě. Dvojité šifrování neaktivních uložených dat snižuje hrozby se dvěma samostatnými vrstvami šifrování, které chrání před ohrožením jakékoli jedné vrstvy. Azure Synapse Analytics nabízí druhou vrstvu šifrování dat ve vašem pracovním prostoru s klíčem spravovaným zákazníkem. Tento klíč je chráněn ve službě Azure Key Vault, což umožňuje převzít vlastnictví správy a obměny klíčů.
První vrstva šifrování služeb Azure je povolená pomocí klíčů spravovaných platformou. Ve výchozím nastavení jsou disky a data v účtech Azure Storage automaticky šifrovány v klidu. Další informace o tom, jak se šifrování používá v Microsoft Azure, najdete v přehledu služby Azure Encryption.
Note
Některé položky považované za zákaznický obsah, jako jsou názvy tabulek, názvy objektů a názvy indexů, se můžou přenášet v souborech protokolů pro podporu a řešení potíží od Microsoftu.
Šifrování Azure Synapse
Tato část vám pomůže lépe pochopit, jak je povolené a vynucované šifrování klíčů spravované zákazníkem v pracovních prostorech Synapse. Toto šifrování používá existující klíče nebo nové klíče vygenerované ve službě Azure Key Vault. Jeden klíč slouží k šifrování všech dat v pracovním prostoru. Pracovní prostory Synapse podporují klíče velikosti bajtů RSA 2048 a 3072 a klíče RSA-HSM.
Note
Pracovní prostory Synapse nepodporují použití klíčů EC, EC-HSM a oct-HSM pro šifrování.
Data v následujících komponentách Synapse se šifrují pomocí klíče spravovaného zákazníkem nakonfigurovaným na úrovni pracovního prostoru:
- Fondy SQL
- Vyhrazené fondy SQL
- Bezserverové fondy SQL
- Fondy pro průzkum dat
- Fondy Apache Sparku
- Azure Data Factory Integration Runtimes, kanály, datové sady.
Konfigurace šifrování pracovního prostoru
Pracovní prostory je možné nakonfigurovat tak, aby při vytváření pracovního prostoru povolovaly dvojité šifrování pomocí klíče spravovaného zákazníkem. Při vytváření nového pracovního prostoru povolte dvojité šifrování pomocí klíče spravovaného zákazníkem na kartě Zabezpečení. Můžete zadat URI identifikátoru klíče nebo vybrat ze seznamu trezorů klíčů ve stejné oblasti jako pracovní prostor. Samotná služba Key Vault musí mít povolenou ochranu před vymazáním.
Important
Nastavení konfigurace pro dvojité šifrování nelze po vytvoření pracovního prostoru změnit.
Požadavky: Rotace klíčů a stav fondu SQL
Warning
Před změnou šifrovacího klíče pracovního prostoru:
- Ujistěte se, že všechny vyhrazené fondy SQL jsou ve stavu Online. Offline fondy nebudou znovu zašifrovány a nelze pokračovat, pokud je starý klíč nebo verze klíče odstraněna, zakázána nebo vypršela jeho platnost.
- Zachovejte všechny staré klíče a verze klíčů používané k šifrování, dokud se všechny fondy SQL nepřenesou do režimu online a znovu zašifrují pomocí nového klíče. Starý klíč deaktivujte nebo odstraňte jenom poté, co všechny fondy úspěšně přešly na nový klíč.
⚠✔ Nedodržování těchto požadavků může vést k trvalému nedostupnosti fondů SQL nebo nedostupnosti zálohovaných dat.
Kontrolní seznam pro rotaci klíčů
| Step | Action | Status |
|---|---|---|
| 1 | Potvrzení, že všechny fondy SQL jsou online | ☐ |
| 2 | Ujistěte se, že je starý klíč zachovaný a povolený. | ☐ |
| 3 | Rotovat CMK | ☐ |
| 4 | Ověřte, že jsou všechny fondy znovu zašifrované. | ☐ |
| 5 | Bezpečně zakažte starý klíč nebo jeho verzi (po dokončení všech služeb) | ☐ |
Osvědčené postupy správy klíčů
Important
Při změně šifrovacího klíče pracovního prostoru zachovejte starý klíč , dokud ho v pracovním prostoru nenahradíte novým klíčem. To umožňuje dešifrování dat pomocí starého klíče předtím, než se znovu zašifruje pomocí nového klíče.
Stav fondu SQL (Online/Offline) nemá vliv na proces rotace klíče spravovaného zákazníkem (CMK), ale offline skupiny zůstanou zašifrované pomocí starého klíče nebo verze klíče.
Pokud je starý klíč nebo jeho verze zakázána nebo vypršela platnost, offline úložiště nebudou pokračovat, protože dešifrování není možné. Po obnovení těchto úložišť musí být povolen starý klíč nebo verze klíče (1) a musí mít nastavené datum vypršení platnosti do budoucnosti (2), aby bylo možné dešifrování a následné opětovné šifrování pomocí nového klíče nebo verze klíče.
Aby se zajistila hladká rotace CMK, pokud jsou některé SQL fondy během procesu offline, měl by původní klíč nebo verze klíče zůstat povolený a mít nastaveno datum vypršení platnosti v budoucnosti. Je to zásadní, dokud nebudou offline fondy úspěšně obnoveny a znovu zašifrovány pomocí nového klíče nebo klíčové verze.
Neodstraňovat staré klíče nebo verze klíčů , dokud nebudou všechny fondy a zálohy úspěšně znovu zašifrovány a ověřeny. Po splnění všech požadavků zakažte starý klíč.
Řešení potíží s rotací klíčů
Pokud se fond SQL zasekne offline po rotaci klíčů:
Pomocí PowerShellu zkontrolujte verzi klíče fondu SQL a ověřte , kterou verzi klíče nebo klíče fond očekává:
Get-AzSqlServerTransparentDataEncryptionProtector -ServerName 'ContosoServer' -ResourceGroupName 'WORKSPACE_MANAGED_RESOURCE_GROUP'
Note
Odkazuje ResourceGroupName na spravovanou skupinu prostředků pracovního prostoru. Najdete to v Azure portálu tak, že vyberete pracovní prostor Synapse a zobrazíte hodnotu managedResourceGroup v zobrazení JSON.
Povolte požadovaný starý klíč nebo verzi klíče ve službě Azure Key Vault.
Nastavte datum vypršení platnosti v budoucnu pro starý klíč nebo verzi klíče.
Obnovte provoz fondu SQL.
Jakmile je pool opět online, umožněte jeho znovu zašifrování novým klíčem.
Ověřte stav šifrování každé databáze spuštěním následujícího dotazu T-SQL ve vašem fondu SQL:
SELECT [name], [is_encrypted] FROM sys.databases;- Ve
is_encryptedsloupci se zobrazí stav šifrování (1= šifrovaný,0= nešifrovaný).
- Ve
Po potvrzení, že všechny fondy a zálohy jsou přístupné a šifrované, můžete bezpečně zakázat (neodstraňovat) starý klíč nebo verzi klíče.
Přístup ke klíči a aktivace pracovního prostoru
Model šifrování Azure Synapse s klíči spravovanými zákazníkem zahrnuje pracovní prostor, který přistupuje ke klíčům ve službě Azure Key Vault a podle potřeby je šifruje a dešifruje. Klíče jsou zpřístupněny pracovnímu prostoru buď prostřednictvím zásady přístupu, nebo řízení přístupu na základě role (RBAC) v Azure Key Vault. Při udělování oprávnění prostřednictvím zásad přístupu ke službě Azure Key Vault zvolte během vytváření zásad možnost Pouze aplikace (vyberte spravovanou identitu pracovních prostorů a nepřidávejte ji jako autorizovanou aplikaci).
Spravovaná identita pracovního prostoru musí mít v trezoru na klíče udělená potřebná oprávnění, než může být pracovní prostor aktivován. Tento fázovaný přístup k aktivaci pracovního prostoru zajišťuje šifrování dat v pracovním prostoru pomocí klíče spravovaného zákazníkem. Pro jednotlivé vyhrazené fondy SQL je možné povolit nebo zakázat šifrování. Každý vyhrazený fond není ve výchozím nastavení povolený pro šifrování.
Použití spravované identity přiřazené uživatelem
Pracovní prostory je možné nakonfigurovat tak, aby používaly spravovanou identitu přiřazenou uživatelem pro přístup k klíči spravovanému zákazníkem uloženým ve službě Azure Key Vault. Nakonfigurujte spravovanou identitu přiřazenou uživatelem, aby se zabránilo postupné aktivaci pracovního prostoru Azure Synapse při použití dvojitého šifrování s klíči spravovanými zákazníkem. Předdefinovaná role Přispěvatel spravované identity je nutná k přiřazení spravované identity přiřazené uživatelem k pracovnímu prostoru Azure Synapse.
Note
Uživatelsky přiřazenou spravovanou identitu nelze nakonfigurovat pro přístup ke klíči spravovanému zákazníkem, pokud je Azure Key Vault chráněný bránou firewall.
Permissions
Pokud chcete šifrovat nebo dešifrovat neaktivní uložená data, musí mít spravovaná identita následující oprávnění. Podobně pokud k vytvoření nového klíče používáte šablonu Resource Manageru, musí mít parametr keyOps šablony následující oprávnění:
- WrapKey (pro vložení klíče do služby Key Vault při vytváření nového klíče)
- UnwrapKey (pro získání klíče pro dešifrování).
- Načtení (čtení veřejné části klíče)
Aktivace pracovního prostoru
Pokud během vytváření pracovního prostoru nenakonfigurujete spravovanou identitu přiřazenou uživatelem pro přístup ke klíčům spravovaným zákazníkem, zůstane váš pracovní prostor ve stavu Čeká na vyřízení, dokud nebude aktivace úspěšná. Aby bylo možné plně používat všechny funkce, je nutné pracovní prostor aktivovat. Například můžete vytvořit nový vyhrazený fond SQL pouze po úspěšném aktivaci. Udělte spravované identitě pracovního prostoru přístup k trezoru klíčů a v banneru webu Azure Portal pracovního prostoru vyberte aktivační odkaz. Po úspěšném dokončení aktivace je váš pracovní prostor připravený k použití s jistotou, že všechna data v ní jsou chráněná klíčem spravovaným zákazníkem. Již dříve bylo uvedeno, že trezor klíčů musí mít povolenou ochranu před vymazáním, aby aktivace byla úspěšná.
Správa klíče pracovního prostoru spravovaného zákazníkem
Klíč spravovaný zákazníkem, který se používá k šifrování dat, můžete změnit na stránce Šifrování na webu Azure Portal. Tady můžete také zvolit nový klíč pomocí identifikátoru klíče nebo vybrat ze služby Key Vault, ke kterým máte přístup ve stejné oblasti jako pracovní prostor. Pokud zvolíte klíč v jiném trezoru klíčů, než který jste použili dříve, udělte identitě spravované pracovním prostorem oprávnění Get, Wrap a Unwrap u nového trezoru klíčů. Pracovní prostor ověří přístup k novému trezoru klíčů a všechna data v pracovním prostoru se znovu zašifrují pomocí nového klíče.
Zásady služby Azure Key Vault pro automatické, pravidelné obměně klíčů nebo akce s klíči můžou vést k vytvoření nových verzí klíčů. Všechna data v pracovním prostoru můžete znovu zašifrovat pomocí nejnovější verze aktivního klíče. Pokud chcete klíč znovu zašifrovat, změňte klíč na webu Azure Portal na dočasný klíč a pak přepněte zpět na klíč, který chcete použít k šifrování. Pokud chcete například aktualizovat šifrování dat pomocí nejnovější verze aktivního klíče Key1, změňte klíč spravovaný zákazníkem pracovního prostoru na dočasný klíč Key2. Počkejte na dokončení šifrování pomocí klíče Key2. Poté přepněte klíč spravovaný zákazníkem pracovního prostoru zpět na Key1. Data v pracovním prostoru budou znovu zašifrována pomocí nejnovější verze Key1.
Note
Před otočením klíče pro pracovní prostor Azure Synapse Analytics se ujistěte, že platí následující:
- Pokud je povolená automatická obměně klíčů Azure Key Vault, ověřte, že je stále povolená předchozí verze klíče.
- Ověřte, že datum vypršení platnosti předchozí verze klíče je nastavené na budoucí datum.
- Poznámka: Aktualizace data vypršení platnosti může vyžadovat ruční akci v Azure Key Vault.
Během procesu opětovného šifrování může Azure Synapse Analytics potřebovat přístup k datům šifrovaným pomocí předchozí verze klíče. Pokud je tato verze klíče zakázaná nebo jeho platnost vypršela, může pracovní prostor přejít do stavu SELHÁNÍ.
Rotace klíčů je čtyřstupňový proces:
- Ověřte, že je povolená předchozí verze klíče a nevypršela platnost.
- Změňte klíč spravovaný zákazníkem pracovního prostoru z hlavního klíče na dočasný klíč.
- Počkejte 15 až 30 minut, než se proces opětovného šifrování dokončí.
- Změňte klíč spravovaný zákazníkem pracovního prostoru zpět na hlavní klíč (teď použijte nejnovější verzi klíče).
Note
Azure Synapse Analytics při vytváření nových verzí klíčů automaticky nešifruje data. Pokud chcete zajistit konzistenci v pracovním prostoru, vynuťte opětovné šifrování dat pomocí výše uvedeného procesu.
SQL transparentní šifrování dat s klíči spravovanými službou
SQL Transparentní šifrování dat (TDE) je k dispozici pro vyhrazené SQL pooly v pracovních prostorech, které nejsou povoleny pro dvojité šifrování. V tomto typu pracovního prostoru slouží klíč spravovaný službou k zajištění dvojitého šifrování dat ve vyhrazených fondech SQL. TDE s klíčem spravovaným službou je možné povolit nebo zakázat pro jednotlivé vyhrazené fondy SQL.
Cmdlety pro Azure SQL Database a Azure Synapse
Pokud chcete nakonfigurovat transparentní šifrování dat prostřednictvím PowerShellu, musíte být připojeni jako vlastník Azure, přispěvatel Azure nebo správce zabezpečení SQL.
Pro pracovní prostor Azure Synapse použijte následující rutiny.
| Cmdlet | Description |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Povolí nebo zakáže transparentní šifrování dat pro fond SQL. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Získá transparentní stav šifrování dat pro fond SQL. |
| New-AzSynapseWorkspaceKey | Přidá klíč z Key Vault do pracovního prostoru. |
| Get-AzSynapseWorkspaceKey | Získá klíče služby Key Vault pro pracovní prostor. |
| Update-AzSynapseWorkspace | Nastaví ochranu transparentního šifrování dat pro pracovní prostor. |
| Get-AzSynapseWorkspace | Získá transparentní ochranu šifrování dat. |
| Remove-AzSynapseWorkspaceKey | Odebere klíč služby Key Vault z pracovního prostoru. |