Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit ce qui suit :
- Chiffrement des données au repos dans les espaces de travail Synapse Analytics.
- Configuration des espaces de travail Synapse pour activer le chiffrement avec une clé gérée par le client.
- Gestion des clés utilisées pour chiffrer les données dans les espaces de travail.
Chiffrement des données au repos
Une solution complète de chiffrement au repos fait en sorte que les données ne soient jamais stockées sous une forme non chiffrée. Le double chiffrement des données au repos atténue les menaces avec deux couches distinctes de chiffrement, ce qui offre une protection contre les risques liés à une couche unique. Azure Synapse Analytics offre une deuxième couche de chiffrement pour les données de votre espace de travail avec une clé gérée par le client. Cette clé est sauvegardée dans votre Azure Key Vault, ce qui vous permet de prendre possession de la gestion et de la rotation des clés.
La première couche de chiffrement pour les services Azure est activée avec les clés gérées par la plateforme. Par défaut, les disques Azure et les données dans les comptes de stockage Azure sont automatiquement chiffrés au repos. Pour en savoir plus sur l’utilisation du chiffrement dans Microsoft Azure, accédez à la rubrique Vue d’ensemble du chiffrement Azure.
Note
Certains éléments considérés comme du contenu client, tels que les noms de tables, les noms d’objets et les noms d’index, peuvent être transmis dans les fichiers journaux pour le support et la résolution des problèmes par Microsoft.
Chiffrement Azure Synapse
Cette section vous permet de mieux comprendre la façon dont le chiffrement à clé gérée par le client est activé et appliqué dans les espaces de travail Synapse. Ce chiffrement utilise des clés existantes ou de nouvelles clés générées dans Azure Key Vault. Une clé unique est utilisée pour chiffrer toutes les données d’un espace de travail. Les espaces de travail Synapse prennent en charge les clés RSA de 2 048 et 3 072 octets, ainsi que les clés RSA-HSM.
Note
Les espaces de travail Synapse ne prennent pas en charge l’utilisation de clés EC, EC-HSM et oct-HSM pour le chiffrement.
Les données des composants Synapse suivants sont chiffrées à l’aide de la clé gérée par le client configurée au niveau de l’espace de travail :
- Pools SQL
- Pools SQL dédiés
- Pools SQL serverless
- Pools Data Explorer
- Pools Apache Spark
- Runtimes d'intégration, pipelines et jeux de données Azure Data Factory.
Configuration du chiffrement de l’espace de travail
Les espaces de travail peuvent être configurés pour activer le double chiffrement avec une clé gérée par le client au moment de la création de l’espace de travail. Activez le chiffrement double à l’aide d’une clé gérée par le client sous l’onglet « Sécurité » lors de la création de votre nouvel espace de travail. Vous pouvez choisir d’entrer un URI d’identificateur de clé ou d’effectuer une sélection dans une liste de coffres de clés dans la même région que l’espace de travail. La protection contre le vidage doit être activée sur le Key Vault lui-même.
Important
Le paramètre de configuration pour le double chiffrement ne peut pas être modifié après la création de l’espace de travail.
Prérequis : Rotation des clés et état du pool SQL
Warning
Avant de modifier la clé de chiffrement de votre espace de travail :
- Vérifiez que tous les pools SQL dédiés sont dans l’état En ligne. Les pools hors connexion ne sont pas rechiffrés et ne peuvent pas reprendre si l’ancienne clé ou la version de la clé est supprimée, désactivée ou expirée.
- Conservez toutes les anciennes clés et versions de clé utilisées pour le chiffrement jusqu’à ce que chaque pool SQL soit mis en ligne et rechiffré avec la nouvelle clé. Désactivez ou supprimez uniquement l’ancienne clé une fois que tous les pools ont été correctement pivotés vers la nouvelle clé.
⚠️ Le fait de ne pas suivre ces prérequis peut entraîner l'inaccessibilité permanente des pools SQL ou rendre les données de sauvegarde irrécupérables.
Liste de contrôle de rotation des clés
| Step | Action | Status |
|---|---|---|
| 1 | Vérifiez que tous les pools SQL sont en ligne | ☐ |
| 2 | Vérifier que l’ancienne clé est conservée et activée | ☐ |
| 3 | Faire pivoter CMK | ☐ |
| 4 | Vérifier que tous les pools sont rechiffrés | ☐ |
| 5 | Désactivez en toute sécurité l’ancienne clé ou la version de la clé (une fois tous les pools terminés) | ☐ |
Gestion des clés – meilleures pratiques
Important
Lorsque vous modifiez la clé de chiffrement d’un espace de travail, conservez l’ancienne clé jusqu’à ce que vous l’ayez remplacée dans l’espace de travail par une nouvelle clé. Cela permet d’autoriser le déchiffrement des données avec l’ancienne clé avant qu’elle ne soit rechiffrée avec la nouvelle clé.
L’état du pool SQL (en ligne/hors connexion) n’affecte pas le processus de rotation de clé gérée par le client de l’espace de travail ( CMK), mais les pools hors connexion restent chiffrés avec l’ancienne clé ou la version de clé.
Si l’ancienne clé ou la version de la clé est désactivée ou expirée, les pools hors connexion ne reprendront pas , car le déchiffrement n’est pas possible. Lors de la reprise de ces pools, l’ancienne clé ou la version de clé doit (1) être activée et (2) avoir une date d’expiration définie ultérieurement pour autoriser le déchiffrement et le rechiffrage ultérieur avec la nouvelle clé ou la nouvelle version de clé.
Pour garantir une rotation fluide de la clé CMK, si certains pools SQL sont hors connexion pendant le processus, l’ancienne clé ou la version de la clé doit rester activée et avoir sa date d’expiration définie à l’avenir. Cela est crucial jusqu’à ce que les pools hors ligne soient repris et rechiffrés avec la nouvelle clé ou version de clé.
Ne supprimez pas les anciennes clés ou versions de clés tant que tous les pools et sauvegardes ne sont pas correctement chiffrés et validés. Désactivez uniquement l’ancienne clé une fois que toutes les exigences sont remplies.
Problèmes liés à la rotation des clés
Si un pool SQL est bloqué hors connexion après une rotation de clé :
Vérifiez la version de la clé du pool SQL à l’aide de PowerShell pour confirmer la clé ou la version de clé attendue par le pool :
Get-AzSqlServerTransparentDataEncryptionProtector -ServerName 'ContosoServer' -ResourceGroupName 'WORKSPACE_MANAGED_RESOURCE_GROUP'
Note
Il ResourceGroupName fait référence au groupe de ressources managé de l’espace de travail. Vous pouvez le trouver dans le portail Azure en sélectionnant votre espace de travail Synapse et en affichant la managedResourceGroup valeur dans la vue JSON.
Activez l’ancienne clé ou la version de clé requise dans Azure Key Vault.
Définissez une date d’expiration à l’avenir pour l’ancienne clé ou la version de la clé.
Réactivez le pool SQL.
Une fois que le pool est de nouveau en ligne, autorisez-le à rechiffrer avec la nouvelle clé.
Vérifiez l’état de chiffrement de chaque base de données en exécutant la requête T-SQL suivante dans votre pool SQL :
SELECT [name], [is_encrypted] FROM sys.databases;- La
is_encryptedcolonne affiche l’état du chiffrement (1= chiffré,0= non chiffré).
- La
Après avoir vérifié que tous les pools et sauvegardes sont accessibles et chiffrés, vous pouvez désactiver (pas supprimer) l’ancienne clé ou la version de la clé.
Accès aux clés et activation de l’espace de travail
Le modèle de chiffrement Azure Synapse avec des clés gérées par le client implique que l’espace de travail accède aux clés dans Azure Key Vault pour chiffrer et déchiffrer si nécessaire. Les clés sont rendues accessibles à l’espace de travail par le biais d’une stratégie d’accès ou d’un RBAC Azure Key Vault. Lorsque vous accordez des autorisations via une stratégie d’accès Azure Key Vault, choisissez l’option « Application uniquement » lors de la création de la stratégie (sélectionnez l’identité managée de l’espace de travail et ne l’ajoutez pas comme application autorisée).
L’identité managée par l’espace de travail doit avoir les autorisations nécessaires sur le coffre de clés pour que l’espace de travail puisse être activé. Cette approche progressive de l’activation de l’espace de travail garantit le chiffrement des données dans l’espace de travail avec la clé gérée par le client. Le chiffrement peut être activé ou désactivé pour des pools SQL dédiés individuels. Chaque pool dédié n’est pas activé pour le chiffrement par défaut.
Utiliser une identité managée affectée par l’utilisateur
Vous pouvez configurer des espaces de travail pour utiliser une identité managée affectée par l’utilisateur afin d’accéder à votre clé gérée par le client stockée dans Azure Key Vault. Configurez une identité managée affectée par l’utilisateur afin d’éviter l’activation par phases de votre espace de travail Azure Synapse lors de l’utilisation du chiffrement double avec des clés gérées par le client. Le rôle intégré Contributeur d’identité managée est requis pour attribuer une identité managée affectées par l’utilisateur à un espace de travail Azure Synapse.
Note
Une identité managées attribuée par l’utilisateur ne peut pas être configurée pour accéder à une clé gérée par le client quand Azure Key Vault se trouve derrière un pare-feu.
Permissions
Pour chiffrer ou déchiffrer des données au repos, l’identité managée doit avoir les autorisations suivantes. De même, si vous utilisez un modèle Resource Manager pour créer une clé, le paramètre « keyOps » du modèle doit avoir les autorisations suivantes :
- WrapKey (pour insérer une clé dans Key Vault lors de la création d’une clé).
- UnwrapKey (pour obtenir la clé pour le déchiffrement).
- Get (pour lire la partie publique d’une clé)
Activation de l’espace de travail
Si vous ne configurez pas une identité managée affectée par l’utilisateur pour accéder aux clés managées par le client lors de la création de l’espace de travail, votre espace de travail reste dans un état « en attente » jusqu’à ce que l’activation aboutisse. L’espace de travail doit être activé pour que vous puissiez utiliser pleinement toutes les fonctionnalités. Par exemple, vous ne pouvez créer un pool SQL dédié qu’une fois l’activation effectuée. Accordez à l’identité managée de l’espace de travail l’accès au coffre de clés, puis sélectionnez le lien d’activation dans la bannière du portail Azure de l’espace de travail. Une fois l’activation terminée, votre espace de travail est prêt à être utilisé avec l’assurance que toutes les données qu’il contient sont protégées par votre clé gérée par le client. Comme indiqué précédemment, le coffre de clés doit avoir la protection contre le vidage activée pour que l’activation aboutisse.
Gérer la clé gérée par le client de l’espace de travail
Vous pouvez modifier la clé gérée par le client utilisée pour chiffrer les données à partir de la page Chiffrement dans le Portail Azure. Ici aussi, vous pouvez choisir une nouvelle clé à l’aide d’un identificateur de clé ou sélectionner des coffres de clés auxquels vous avez accès dans la même région que l’espace de travail. Si vous choisissez une clé dans un coffre de clés différent de ceux utilisés précédemment, accordez les autorisations « Get », « Wrap » et « Unwrap » de l’identité managée par l’espace de travail sur le nouveau coffre de clés. L’espace de travail validera son accès au nouveau coffre de clés et toutes les données de l’espace de travail seront à nouveau chiffrées avec la nouvelle clé.
Les stratégies Azure Key Vault pour la rotation automatique, périodique des clés ou les actions sur les clés peuvent entraîner la création de nouvelles versions de clé. Vous pouvez choisir de chiffrer à nouveau toutes les données de l’espace de travail avec la dernière version de la clé active. Pour effectuer un nouveau chiffrement, remplacez la clé du Portail Azure par une clé temporaire, puis revenez à la clé que vous souhaitez utiliser pour le chiffrement. Par exemple, pour mettre à jour le chiffrement des données à l’aide de la version la plus récente de la clé active Key1, remplacez la clé gérée par le client de l’espace de travail par clé temporaire, Key2. Attendez la fin du chiffrement avec Key2. Ensuite, rebasculez la clé gérée par le client de l’espace de travail vers Key1. Les données de l’espace de travail seront à nouveau chiffrées avec la dernière version de Key1.
Note
La rotation des clés est un processus en trois étapes :
- Remplacez la clé de gestion de l’espace de travail définie par le client de votre clé principale par une clé temporaire.
- Attendez 15 à 30 minutes pour que le processus de rechiffrement se termine.
- Retournez la clé gérée par le client de votre espace de travail à votre clé principale en utilisant maintenant la nouvelle version.
Ce processus garantit que toutes les données de l’espace de travail sont chiffrées de manière sécurisée avec la dernière version de clé.
Note
Azure Synapse Analytics ne rechiffre pas automatiquement les données lors de la création de nouvelles versions de clés. Pour garantir la cohérence dans votre espace de travail, forcez le rechiffrement des données à l’aide du processus détaillé ci-dessus.
SQL Transparent Data Encryption avec des clés gérées par le client
SQL Transparent Data Encryption (TDE) est disponible pour les Pools SQL dédiés dans les espaces de travail non activés pour le double chiffrement. Dans ce type d’espace de travail, une clé gérée par le service est utilisée pour fournir un double chiffrement pour les données dans les pools SQL dédiés. Le TDE avec la clé gérée par le service peut être activé ou désactivé pour des pools SQL dédiés individuels.
Cmdlets relatives à Azure SQL Database et Azure Synapse
Pour configurer TDE par le biais de PowerShell, vous devez être connecté en tant que Propriétaire, Collaborateur ou Gestionnaire de sécurité SQL Azure.
Utilisez les applets de commande suivantes pour l’espace de travail Azure Synapse.
| Cmdlet | Description |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Active ou désactive le chiffrement transparent des données pour un pool SQL. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Obtient l’état du chiffrement transparent des données pour un pool SQL. |
| New-AzSynapseWorkspaceKey | Ajoute une clé Key Vault à un espace de travail. |
| Get-AzSynapseWorkspaceKey | Obtient les clés Key Vault pour un espace de travail |
| Update-AzSynapseWorkspace | Définit le protecteur du chiffrement transparent des données pour un espace de travail. |
| Get-AzSynapseWorkspace | Obtient le protecteur du chiffrement transparent des données |
| Remove-AzSynapseWorkspaceKey | Supprime une clé Key Vault sur un espace de travail. |