Activer le chiffrement double pour votre cluster dans Azure Data Explorer

Lorsque vous créez un cluster, les données sont automatiquement chiffrées au niveau du service. Pour une sécurité accrue des données, vous pouvez également activer le chiffrement double.

Lorsque le chiffrement double est activé, les données dans le compte de stockage sont chiffrées deux fois, à l’aide de deux algorithmes différents.

Important

• L’activation du double chiffrement est possible uniquement lors de la création de cluster.
• Une fois que le chiffrement d’infrastructure est activé sur votre cluster, vous ne pouvez pas le désactiver.

Portail Azure

1. Créez un cluster Azure Data Explorer.

2. Sous l’onglet Sécurité>Activer le chiffrement double, sélectionnez Activé. Pour supprimer le chiffrement double, sélectionnez Désactivé.

3. Sélectionnez Suivant : Réseau > ou Vérifier + créer pour créer le cluster.

   

C#

Vous pouvez activer le chiffrement d’infrastructure lors de la création de cluster en utilisant C#.

Prérequis

Configurez une identité managée à l’aide du client C# Azure Data Explorer :

• Installez le package NuGet Azure Data Explorer.
• Installez le package NuGet Microsoft.Identity.Client pour l’authentification.
• Installez le package NuGet Microsoft.Rest.ClientRuntime pour l’authentification.
• Créez une application Azure Active Directory et un principal du service pouvant accéder aux ressources. Ajoutez l’attribution de rôle à l’étendue de l’abonnement et récupérez les Directory (tenant) ID, Application ID et Client Secret requis.

Création de votre cluster

1. Créez votre cluster à l’aide de la propriété enableDoubleEncryption :

   var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Directory (tenant) ID
   var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; //Application ID
   var clientSecret = "PlaceholderClientSecret"; //Client Secret
   var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
   
   var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
       .WithAuthority($"https://login.microsoftonline.com/{tenantId}")
       .WithClientSecret(clientSecret)
       .Build();
   var result = authClient.AcquireTokenForClient(new[] { "https://management.core.windows.net/" }).ExecuteAsync().Result;
   var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
   var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
   
   var resourceGroupName = "testrg";
   var clusterName = "mykustocluster";
   var clusterData = new Cluster(
       location: "East US",
       sku: new AzureSku("Standard_E8ads_v5", "Standard", 5),
       enableDoubleEncryption: true
   );
   
   await kustoManagementClient.Clusters.CreateOrUpdateAsync(resourceGroupName, clusterName, clusterData);
   

2. Exécutez la commande suivante pour vérifier si votre cluster a bien été créé :

   clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
   

   Si le résultat contient ProvisioningState avec la valeur Succeeded, le cluster a correctement été créé.

Modèle ARM

Vous pouvez activer le chiffrement d’infrastructure lors de la création de cluster en utilisant Azure Resource Manager.

Vous pouvez utiliser un modèle Azure Resource Manager pour automatiser le déploiement de vos ressources Azure. Pour en savoir plus sur le déploiement sur Azure Data Explorer, consultez Créer un cluster Azure Data Explorer et une base de données à l’aide d’un modèle Azure Resource Manager.

Ajouter une identité affectée par le système à l’aide d’un modèle Azure Resource Manager

Ajoutez le type « EnableDoubleEncryption » pour indiquer à Azure d’activer le chiffrement d’infrastructure (chiffrement double) pour votre cluster.

{
    "apiVersion": "2020-06-14",
    "type": "Microsoft.Kusto/clusters",
    "name": "[variables('clusterName')]",
    "location": "[resourceGroup().location]",
    "properties": {
        "trustedExternalTenants": [],
        "virtualNetworkConfiguration": null,
        "optimizedAutoscale": null,
        "enableDiskEncryption": false,
        "enableStreamingIngest": false,
        "enableDoubleEncryption": true,
    }
}

Limites

Les limitations suivantes s’appliquent au chiffrement des volumes sélectionnés :

• Impact sur les performances jusqu’à un seul chiffre
• Impossible d’utiliser avec des bacs à sable

Étapes suivantes

• Activer le chiffrement de disque pour votre cluster
• Vérifier l’intégrité des clusters