Az Azure Synapse Analytics biztonsági tanulmánya: Adatvédelem
Feljegyzés
Ez a cikk az Azure Synapse Analytics biztonsági tanulmánysorozatának része. A sorozat áttekintését az Azure Synapse Analytics biztonsági tanulmányában tekintheti meg.
Adatfelderítés és besorolás
A szervezeteknek meg kell védeniük adataikat, hogy megfeleljenek a szövetségi, helyi és vállalati irányelveknek az adatszivárgás kockázatának csökkentése érdekében. A szervezetek egyik kihívása a következő: Hogyan védheti meg az adatokat, ha nem tudja, hol vannak? Egy másik: Milyen szintű védelemre van szükség?– mert egyes adathalmazok több védelmet igényelnek, mint mások.
Képzeljen el egy olyan szervezetet, amely több száz vagy több ezer fájlt tárol a data lake-ben, és több száz vagy több ezer táblát az adatbázisaiban. Hasznos lehet egy olyan folyamat, amely automatikusan megvizsgálja a fájlrendszer vagy a tábla minden sorát és oszlopát, és potenciálisan bizalmas adatokként sorolja be az oszlopokat. Ezt a folyamatot adatfelderítésnek nevezzük.
Az adatfelderítési folyamat befejeződése után előre meghatározott minták, kulcsszavak és szabályok alapján nyújt besorolási javaslatokat. Ezután valaki áttekintheti a javaslatokat, és bizalmassági besorolási címkéket alkalmazhat a megfelelő oszlopokra. Ezt a folyamatot besorolásnak nevezzük.
Az Azure Synapse két lehetőséget kínál az adatfelderítéshez és -besoroláshoz:
- Data Discovery > Besorolás, amely az Azure Synapse-be és a dedikált SQL-készletbe (korábban SQL DW) van beépítve.
- A Microsoft Purview egy egységes adatszabályozási megoldás, amely segít a helyszíni, többfelhős és szolgáltatott szoftveres (SaaS-) adatok kezelésében és szabályozásában. Automatizálhatja az adatfelderítést, a vonalazonosítást és az adatbesorolást. Az adategységek és kapcsolataik egységes térképének létrehozása megkönnyíti az adatok felderítését.
Feljegyzés
A Microsoft Purview-adatok felderítése és besorolása nyilvános előzetes verzióban érhető el az Azure Synapse, a dedikált SQL-készlet (korábbi nevén SQL DW) és a kiszolgáló nélküli SQL-készlet számára. Az adatsorok azonban jelenleg nem támogatottak az Azure Synapse, a dedikált SQL-készlet (korábban SQL DW) és a kiszolgáló nélküli SQL-készlet esetében. Az Apache Spark-készlet csak a vonalkövetést támogatja.
Adattitkosítás
Az adatok inaktív és átvitel alatt vannak titkosítva.
Inaktív adatok
Alapértelmezés szerint az Azure Storage automatikusan titkosítja az összes adatot a 256 bites Advanced Encryption Standard titkosítás (AES 256) használatával. Ez az egyik legerősebb blokk-titkosítás, és a FIPS 140-2-kompatibilis. A platform kezeli a titkosítási kulcsot, és ez képezi az adattitkosítás első rétegét . Ez a titkosítás a felhasználói és a rendszeradatbázisokra is vonatkozik, beleértve a fő adatbázist is.
A transzparens adattitkosítás (TDE) engedélyezése egy második adattitkosítási réteget adhat hozzá a dedikált SQL-készletekhez. Valós idejű I/O-titkosítást és visszafejtést végez az adatbázisfájlok, a tranzakciónaplók fájljai és a biztonsági mentések inaktív állapotában anélkül, hogy az alkalmazás bármilyen módosítást igényel. Alapértelmezés szerint az AES 256-ot használja.
A TDE alapértelmezés szerint egy beépített kiszolgálótanúsítvánnyal (felügyelt szolgáltatással) védi az adatbázis-titkosítási kulcsot (DEK). Lehetőség van arra, hogy saját kulcsot (BYOK) hozzon létre, amely biztonságosan tárolható az Azure Key Vaultban.
Az Azure Synapse SQL kiszolgáló nélküli készlete és az Apache Spark-készlet olyan elemzési motorok, amelyek közvetlenül az Azure Data Lake Gen2 -n (ALDS Gen2) vagy az Azure Blob Storage-on működnek. Ezek az elemzési futtatókörnyezetek nem rendelkeznek állandó tárterületekkel, és az Azure Storage titkosítási technológiáira támaszkodnak az adatvédelemhez. Alapértelmezés szerint az Azure Storage az összes adatot kiszolgálóoldali titkosítással (SSE) titkosítja. Minden tárolási típushoz engedélyezve van (beleértve az ADLS Gen2-t is), és nem tiltható le. Az SSE transzparens módon titkosítja és visszafejti az adatokat az AES 256 használatával.
Két SSE-titkosítási lehetőség van:
- Microsoft által felügyelt kulcsok: A Microsoft kezeli a titkosítási kulcs minden aspektusát, beleértve a kulcstárolást, a tulajdonjogot és a rotációkat. Ez teljesen átlátható az ügyfelek számára.
- Ügyfél által kezelt kulcsok: Ebben az esetben az Azure Storage-adatok titkosításához használt szimmetrikus kulcs egy ügyfél által megadott kulccsal van titkosítva. Támogatja a 2048-es, 3072-es és 4096-os RSA és RSA-HSM (hardveres biztonsági modulok) kulcsokat. A kulcsok biztonságosan tárolhatók az Azure Key Vaultban vagy az Azure Key Vault felügyelt HSM-ben. Részletes hozzáférés-vezérlést biztosít a kulcshoz és annak kezeléséhez, beleértve a tárolást, a biztonsági mentést és a rotációkat. További információ: Ügyfél által felügyelt kulcsok az Azure Storage-titkosításhoz.
Bár az SSE az első titkosítási réteg, az óvatos ügyfelek dupla titkosítást végezhetnek, ha engedélyezik a második , 256 bites AES-titkosítást az Azure Storage-infrastruktúra rétegében. Infrastruktúra-titkosításként ismert, platform által felügyelt kulcsot használ az SSE-től eltérő kulccsal együtt. A tárfiókban lévő adatok tehát kétszer titkosítva lesznek; egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén két különböző titkosítási algoritmussal és különböző kulcsokkal.
Átvitt adatok
Az Azure Synapse, a dedikált SQL-készlet (korábbi nevén SQL DW) és a kiszolgáló nélküli SQL-készlet a Táblázatos adatfolyam (TDS) protokoll használatával kommunikál az SQL-készlet végpontja és az ügyfélgép között. A TDS a csatornatitkosítás átviteli rétegének biztonságától (TLS) függ, így biztosítva, hogy az összes adatcsomag biztonságos legyen és titkosítva legyen a végpont és az ügyfélszámítógép között. A microsoft által felügyelt TLS-titkosításhoz használt hitelesítésszolgáltató (CA) aláírt kiszolgálói tanúsítványát használja. Az Azure Synapse az AES 256 titkosítással támogatja a TLS 1.2-s verzióval történő átvitel közbeni adattitkosítást.
Az Azure Synapse a TLS használatával biztosítja az adatok mozgás közbeni titkosítását. A dedikált SQL-készletek támogatják a TLS 1.0, a TLS 1.1 és a TLS 1.2 verziót a titkosításhoz, ahol a Microsoft által biztosított illesztőprogramok alapértelmezés szerint a TLS 1.2-t használják. A kiszolgáló nélküli SQL-készlet és az Apache Spark-készlet a TLS 1.2-t használja az összes kimenő kapcsolathoz.
Következő lépések
Ebben a tanulmánysorozatban a következő cikkben megismerheti a hozzáférés-vezérlést.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: