Titkosítás Azure Synapse Analytics-munkaterületekhez

Ez a cikk a következőt ismerteti:

  • Inaktív adatok titkosítása a Synapse Analytics-munkaterületeken.
  • Synapse-munkaterületek konfigurálása az ügyfél által felügyelt kulccsal történő titkosítás engedélyezéséhez.
  • A munkaterületeken lévő adatok titkosításához használt kulcsok kezelése.

A tárolt adatok titkosítása

A teljes adatátviteli titkosítás megoldás biztosítja, hogy az adatok soha ne maradjanak titkosítatlan formában. A inaktív adatok kettős titkosítása két, különálló titkosítási réteggel csökkenti a fenyegetéseket, hogy védelmet nyújtsunk az egyrétegű biztonsági rések ellen. Az Azure Synapse Analytics egy második titkosítási réteget kínál a munkaterületen lévő adatokhoz egy ügyfél által felügyelt kulccsal. Ez a kulcs védve van az Azure Key Vaultban, amely lehetővé teszi a kulcskezelés és a rotáció tulajdonjogának átvételét.

Az Azure-szolgáltatások első titkosítási rétege platform által felügyelt kulcsokkal van engedélyezve. Alapértelmezés szerint az Azure Disks és az Azure Storage-fiókok adatai inaktív állapotban automatikusan titkosítva lesznek. Az Azure Encryption áttekintésében további információt tudhat meg arról, hogyan használják a titkosítást a Microsoft Azure-ban.

Note

Egyes ügyféltartalmak, például a táblanevek, az objektumnevek és az indexnevek, a Microsoft támogatás és hibaelhárítás céljából a naplófájlokban továbbíthatók.

Azure Synapse-titkosítás

Ez a szakasz segít jobban megérteni az ügyfél által felügyelt kulcstitkosítás engedélyezését és kikényszerítését a Synapse-munkaterületeken. Ez a titkosítás az Azure Key Vaultban létrehozott meglévő kulcsokat vagy új kulcsokat használja. Egyetlen kulccsal titkosíthatja a munkaterület összes adatát. A Synapse-munkaterületek támogatják az RSA 2048 és 3072 bájt méretű kulcsokat, valamint az RSA-HSM-kulcsokat.

Note

A Synapse-munkaterületek nem támogatják az EC-, EC-HSM- és okt-HSM-kulcsok titkosítását.

A következő Synapse-összetevők adatai a munkaterület szintjén konfigurált ügyfél által felügyelt kulccsal lesznek titkosítva:

  • SQL-készletek
    • Dedikált SQL-készletek
    • Kiszolgáló nélküli SQL-készletek
  • Adatfeltáró csoportok
  • Apache Spark-készletek
  • Azure Data Factory-integrációs futtatókörnyezetek, folyamatok, adathalmazok.

Munkaterület titkosítási konfigurációja

A munkaterületek úgy konfigurálhatók, hogy a munkaterület létrehozásakor ügyfél által felügyelt kulccsal engedélyezzenek kettős titkosítást. Engedélyezze a kettős titkosítást egy ügyfél által felügyelt kulccsal a "Biztonság" lapon az új munkaterület létrehozásakor. Megadhat egy kulcsazonosító URI-t, vagy választhat a munkaterületével azonos régióban található kulcstartók listájából. Magának a Key Vaultnak engedélyeznie kell a kiürítés elleni védelmet.

Important

A dupla titkosítás konfigurációs beállítása a munkaterület létrehozása után nem módosítható.

Ez az ábra azt a beállítást mutatja be, amelyet ki kell választani ahhoz, hogy a munkaterületet ügyfél által felügyelt kulccsal dupla titkosítással lehessen engedélyezni.

Előfeltételek: Kulcsforgatás és SQL-készlet állapota

Warning

A munkaterület titkosítási kulcsának módosítása előtt:

  • Győződjön meg arról, hogy az összes dedikált SQL-készlet online állapotban van. Az offline készletek nem lesznek újra titkosítva, és nem folytathatók, ha a régi kulcs vagy annak verziója törölve, letiltva vagy lejárt.
  • Őrizze meg a titkosításhoz használt összes régi kulcsot és kulcsverziót , amíg minden SQL-készletet online állapotba nem hoz, és újra titkosítja az új kulccsal. Csak akkor tiltsa le vagy törölje a régi kulcsot, ha az összes tár sikeresen átállt az új kulcsra.

⚠️ Ha nem tartja be ezeket az előfeltételeket, az SQL-készletek véglegesen elérhetetlenné válhatnak, vagy a biztonsági mentési adatok helyreállíthatatlanná válhatnak.

Kulcscserélési ellenőrzőlista

Step Action Status
1 Ellenőrizze, hogy az összes SQL-készlet online állapotban van-e
2 Győződjön meg arról, hogy a régi kulcs megmarad és engedélyezve van
3 CMK elforgatása
4 Ellenőrizze, hogy az összes készlet újra van-e titkosítva
5 A régi kulcs vagy kulcsverzió biztonságos letiltása (az összes készlet befejezése után)

Ajánlott kulcskezelési eljárások

Important

A munkaterület titkosítási kulcsának módosításakor tartsa meg a régi kulcsot , amíg a munkaterületen nem cseréli le egy új kulccsal. Ez lehetővé teszi az adatok visszafejtést a régi kulccsal, mielőtt újra titkosítanák az új kulccsal.

Az SQL-készlet állapota (Online/Offline) nincs hatással a munkaterület ügyfél által felügyelt kulcsának (CMK) rotálási folyamatára, de az offline készletek a régi kulccsal vagy kulcsverzióval titkosítva maradnak.

Ha a régi kulcs vagy kulcs verziója le van tiltva vagy lejárt, az offline készletek nem folytatódnak, mivel a visszafejtés nem lehetséges. Ezeknek a pooloknak a folytatásakor a régi kulcs vagy kulcscsír (1) engedélyezve kell lennie, és (2) a lejárati dátumának a jövőben kell lennie megadva, hogy lehetővé tegye a visszafejtést és az azt követő újratitkosítást az új kulccsal vagy kulcscsírral.

A CMK zökkenőmentes forgásának biztosítása érdekében, ha egyes SQL-készletek offline állapotban vannak a folyamat során, a régi kulcs- vagy kulcsverziónak engedélyezve kell maradnia, és a lejárati dátumot a jövőben meg kell adni. Ez kulcsfontosságú mindaddig, amíg az offline tárolók sikeresen újraindulnak és újra titkosítva lesznek az új kulccsal vagy kulcsverzióval.

Ne törölje a régi kulcsokat vagy kulcsverziókat , amíg az összes készlet és biztonsági mentés sikeresen újra nem lesz titkosítva és érvényesítve. Csak az összes követelmény teljesülése után tiltsa le a régi kulcsot.

Kulcsforgatás hibaelhárítása

Ha egy SQL-készlet offline állapotban van egy kulcsváltás után:

  1. Ellenőrizze az SQL-készletkulcs verzióját a PowerShell használatával annak ellenőrzéséhez, hogy a készlet melyik kulcs- vagy kulcsverziót várja:

    Get-AzSqlServerTransparentDataEncryptionProtector -ServerName 'ContosoServer' -ResourceGroupName 'WORKSPACE_MANAGED_RESOURCE_GROUP'

Note

Ez ResourceGroupName a munkaterület felügyelt erőforráscsoportjára hivatkozik. Ezt az Azure Portalon találja a Synapse-munkaterület kiválasztásával és az managedResourceGroup érték JSON-nézetben való megtekintésével.

  1. Engedélyezze a szükséges régi kulcsot vagy kulcsverziót az Azure Key Vaultban.

  2. Adja meg a lejárati dátumot a jövőben a régi kulcs vagy kulcsverzió számára.

  3. Indítsa újra az SQL-készletet.

  4. Miután a tárhely újra online állapotba kerül, engedélyezze, hogy az új kulccsal újratitkosítson.

  5. Ellenőrizze az egyes adatbázisok titkosítási állapotát a következő T-SQL-lekérdezés futtatásával az SQL-készletben:

    SELECT
    [name],
    [is_encrypted]
FROM
    sys.databases;
    • Az is_encrypted oszlop a titkosítás állapotát jeleníti meg (1 = titkosított, 0 = nem titkosított).

  6. Miután meggyőződett arról, hogy az összes készlet és biztonsági mentés elérhető és titkosítva van, biztonságosan letilthatja (nem törölheti) a régi kulcsot vagy kulcsverziót.

Kulcshozzáférés és munkaterület aktiválása

Az Azure Synapse ügyfél által felügyelt kulcsokkal rendelkező titkosítási modellje magában foglalja, hogy a munkaterület szükség szerint hozzáfér az Azure Key Vault kulcsaihoz a titkosításhoz és a visszafejtéshez. A kulcsok egy hozzáférési szabályzaton vagy az Azure Key Vault RBAC-on keresztül érhetők el a munkaterület számára. Amikor engedélyeket ad meg egy Azure Key Vault hozzáférési szabályzaton keresztül, válassza az "Csak alkalmazás" lehetőséget a szabályzat létrehozásakor (válassza ki a munkaterületek felügyelt identitását, és ne adja hozzá engedélyezett alkalmazásként).

A munkaterület felügyeleti identitásának a munkaterület aktiválása előtt meg kell adni a kulcstárhoz azokat az engedélyeket, amelyek szükségesek. A munkaterület aktiválásának ezen szakaszos megközelítése biztosítja, hogy a munkaterület adatai az ügyfél által felügyelt kulccsal titkosítva lesznek. A titkosítás engedélyezhető vagy letiltható az egyes dedikált SQL-készletek esetében. Alapértelmezés szerint az egyes dedikált készletekhez nincs engedélyezve a titkosítás.

Felhasználó által hozzárendelt felügyelt identitás használata

A munkaterületek úgy konfigurálhatók, hogy felhasználó által hozzárendelt felügyelt identitással férhessenek hozzá az Azure Key Vaultban tárolt ügyfél által felügyelt kulcshoz. Konfiguráljon egy felhasználó által hozzárendelt felügyelt identitást, hogy elkerülje az Azure Synapse-munkaterület fokozatos aktiválását, ha kettős titkosítást használ az ügyfél által felügyelt kulcsokkal. A felügyelt identitás közreműködője beépített szerepkörrel rendelhet hozzá egy felhasználó által hozzárendelt felügyelt identitást egy Azure Synapse-munkaterülethez.

Note

Felhasználó által hozzárendelt felügyelt identitás nem konfigurálható az ügyfél által felügyelt kulcs elérésére, ha az Azure Key Vault tűzfal mögött található.

Ez az ábra azt a beállítást mutatja be, amelyet ki kell választani ahhoz, hogy egy munkaterület felhasználó által hozzárendelt felügyelt identitást használhasson az ügyfél által felügyelt kulccsal történő dupla titkosításhoz.

Permissions

Az inaktív adatok titkosításához vagy visszafejtéséhez a felügyelt identitásnak a következő engedélyekkel kell rendelkeznie. Hasonlóképpen, ha Resource Manager-sablont használ egy új kulcs létrehozásához, a sablon "keyOps" paraméterének a következő engedélyekkel kell rendelkeznie:

  • WrapKey (kulcs beszúrása a Key Vaultba új kulcs létrehozásakor).
  • UnwrapKey (a visszafejtéshez szükséges kulcs lekéréséhez).
  • Lekérés (a kulcs nyilvános részének olvasásához)

Munkaterület aktiválása

Ha nem konfigurál felhasználó által hozzárendelt felügyelt identitást az ügyfél által felügyelt kulcsok eléréséhez a munkaterület létrehozása során, a munkaterület "Függőben" állapotban marad, amíg az aktiválás sikeres nem lesz. A munkaterületet aktiválni kell, mielőtt teljes mértékben használhatja az összes funkciót. Például csak akkor hozhat létre új dedikált SQL-készletet, ha az aktiválás sikeres. Adjon hozzáférést a munkaterület felügyelt identitásának a kulcstárhoz, és válassza ki az aktiválási hivatkozást a munkaterület Azure portál címkéjén található szalaghirdetésben. Miután az aktiválás sikeresen befejeződött, a munkaterület készen áll arra, hogy az ügyfél által felügyelt kulccsal védve legyen a benne lévő összes adat. Ahogy korábban már említettük, a kulcstárnak az aktiválás sikerességéhez engedélyezve kell lennie a kiürítés elleni védelemnek.

Ez az ábra a munkaterület aktiválási hivatkozásával rendelkező szalagcímet mutatja.

A munkaterület ügyfél által kezelt kulcsának kezelése

Az adatok titkosításához használt ügyfél által kezelt kulcsot az Azure Portal Titkosítás lapján módosíthatja. Itt is kiválaszthat egy új kulcsot egy kulcsazonosító használatával, vagy kiválaszthatja azokat a Key Vaultokat, amelyekhez hozzáféréssel rendelkezik a munkaterületével azonos régióban. Ha egy másik kulcstárban lévő kulcsot választ a korábban használt kulcstáraktól, biztosítson "Get", "Wrap" és "Unwrap" engedélyeket az új kulcstárban a munkaterület által kezelt identitás számára. A munkaterület ellenőrzi az új kulcstartóhoz való hozzáférését, és a munkaterület összes adata újra lesz titkosítva az új kulccsal.

Ez az ábra az Azure Portal munkaterület-titkosítás szakaszát mutatja be.

Az Azure Key Vaults-szabályzatok a kulcsok automatikus, rendszeres elforgatásához vagy a kulcsokon végzett műveletekhez új kulcsverziók létrehozását eredményezhetik. Dönthet úgy, hogy újra titkosítja a munkaterület összes adatát az aktív kulcs legújabb verziójával. Az újratitkosításhoz módosítsa az Azure Portal kulcsát ideiglenes kulcsra, majd váltson vissza a titkosításhoz használni kívánt kulcsra. Ha például az adattitkosítást az Aktív kulcs1 legújabb verziójával szeretné frissíteni, módosítsa a munkaterület ügyfél által kezelt kulcsát ideiglenes kulcsra( Key2). Várja meg, amíg befejeződik a titkosítás a Key2 használatával. Ezután állítsa vissza az ügyfél által kezelt munkaterület kulcsát Key1-re - így a munkaterületen lévő adatok újra lesznek titkosítva a Key1 legújabb verziójával.

Note

Mielőtt elforgatja egy Azure Synapse Analytics munkaterület kulcsát, győződjön meg a következőkről:

  • Ha Azure Key Vault automatikus kulcsváltás engedélyezve van, ellenőrizze, hogy az előző kulcsverzió továbbra is engedélyezve van-e.
  • Győződjön meg arról, hogy az előző kulcsverzió lejárati dátuma jövőbeli dátumra van állítva.
    • Megjegyzés: Előfordulhat, hogy a lejárati dátum frissítése manuális műveletet igényel a Azure Key Vault.

Az újratitkosítási folyamat során előfordulhat, hogy Azure Synapse Analytics hozzá kell férnie az előző kulcsverzióval titkosított adatokhoz. Ha a kulcsverzió le van tiltva vagy lejárt, a munkaterület hibás állapotba léphet.

A kulcsforgatás négy lépésből áll:

  1. Ellenőrizze, hogy az előző kulcsverzió engedélyezve van-e, és nem járt-e le.
  2. Módosítsa a munkaterület ügyfél által kezelt kulcsát a főkulcsról ideiglenes kulcsra.
  3. Várjon 15–30 percet, amíg az újratitkosítási folyamat befejeződik.
  4. Állítsa vissza a munkaterület ügyfél által kezelt kulcsát az eredeti főkulcsra (most a legújabb kulcsverziót használva).

Note

Az Azure Synapse Analytics nem titkosítja automatikusan az adatokat új kulcsverziók létrehozásakor. A munkaterület konzisztenciájának biztosítása érdekében kényszerítse az adatok újratitkosítását a fent részletezett eljárással.

SQL-transzparens adattitkosítás szolgáltatás által felügyelt kulcsokkal

Az SQL transzparens adattitkosítás (TDE) a dedikált SQL-készletekhez érhető el a kettős titkosításra nem engedélyezett munkaterületeken. Az ilyen típusú munkaterületen a szolgáltatás által felügyelt kulcs dupla titkosítást biztosít a dedikált SQL-készletek adataihoz. A szolgáltatás által felügyelt kulccsal rendelkező TDE engedélyezhető vagy letiltható az egyes dedikált SQL-készletek esetében.

Az Azure SQL Database és az Azure Synapse parancsmagjai

A TDE PowerShellen keresztüli konfigurálásához azure-tulajdonosként, közreműködőként vagy SQL Security Managerként kell csatlakoznia.

Használja a következő parancsmagokat az Azure Synapse-munkaterülethez.

Cmdlet Description
Set-AzSynapseSqlPoolTransparentDataEncryption Engedélyezi vagy letiltja az sql-készlet transzparens adattitkosítását.
Get-AzSynapseSqlPoolTransparentDataEncryption Lekéri egy SQL-készlet transzparens adattitkosítási állapotát.
New-AzSynapseWorkspaceKey Egy Key Vault-kulcsot ad hozzá a munkaterülethez.
Get-AzSynapseWorkspaceKey Lekéri egy munkaterület Key Vault-kulcsait
Update-AzSynapseWorkspace Beállítja a munkaterület transzparens adattitkosítási védőjének beállítását.
Get-AzSynapseWorkspace Lekéri a transzparens adattitkosítási védőt
Remove-AzSynapseWorkspaceKey Eltávolít egy Key Vault-kulcsot egy munkaterületről.

Kapcsolódó tartalom

  • Last updated on