Dokumen resmi keamanan Azure Synapse Analytics: Perlindungan data
Catatan
Artikel ini merupakan bagian dari rangkaian artikel laporan resmi keamanan Azure Synapse Analytics. Untuk ringkasan rangkaian, lihat Dokumen resmi keamanan Azure Synapse Analytics.
Penemuan dan klasifikasi data
Organisasi perlu melindungi datanya untuk mematuhi panduan federal, lokal, dan perusahaan guna mengurangi risiko pelanggaran data. Satu tantangan yang dihadapi organisasi adalah: Bagaimana Anda melindungi data jika Anda tidak tahu di mana letaknya? Yang lainnya adalah: Tingkat perlindungan apa yang dibutuhkan?—karena beberapa himpunan data memerlukan perlindungan lebih dari yang lain.
Bayangkan sebuah organisasi dengan ratusan atau ribuan file yang disimpan di data lake organisasi, dan ratusan atau ribuan tabel di database organisasi. Ini akan mendapat keuntungan dari proses yang secara otomatis memindai setiap baris dan kolom dari sistem file atau tabel dan mengklasifikasikan kolom sebagai data yang berpotensi sensitif. Proses ini dikenal sebagai penemuan data.
Setelah proses penemuan data selesai, ini memberikan rekomendasi klasifikasi berdasarkan sekumpulan pola, kata kunci, dan aturan yang telah ditentukan sebelumnya. Seseorang kemudian dapat meninjau rekomendasi dan menerapkan label klasifikasi sensitivitas ke kolom yang sesuai. Proses ini dikenal sebagai klasifikasi.
Azure Synapse memberikan dua opsi untuk penemuan dan klasifikasi data:
- Penemuan & Klasifikasi Data, yang dibangun ke dalam Azure Synapse dan kumpulan SQL khusus (sebelumnya SQL DW).
- Microsoft Purview, yang merupakan solusi pemerintahan data terpadu yang membantu mengelola dan mengatur data lokal, multicloud, dan software-as-a-service (SaaS). Ini dapat mengotomatiskan penemuan data, identifikasi silsilah, dan klasifikasi data. Dengan menghasilkan peta terpadu dari aset data dan hubungannya, ini membuat data mudah ditemukan.
Catatan
Penemuan dan klasifikasi data Microsoft Purview ada dalam pratinjau publik untuk Azure Synapse, kumpulan SQL khusus (sebelumnya SQL DW), dan kumpulan SQL tanpa server. Namun, silsilah data saat ini tidak didukung untuk Azure Synapse, kumpulan SQL khusus (sebelumnya SQL DW), dan kumpulan SQL tanpa server. Kumpulan Apache Spark hanya mendukung pelacakan silsilah.
Enkripsi data
Data dienkripsi saat tidak aktif dan dalam transit.
Data tidak aktif
Secara default, Azure Storage secara otomatis mengenkripsi semua data menggunakan enkripsi Standar Enkripsi Lanjutan 256-bit (SEL 256). Ini adalah salah satu cipher blok terkuat yang tersedia dan sesuai dengan FIPS 140-2. Platform mengelola kunci enkripsi, dan membentuk lapisan pertama dari enkripsi data. Enkripsi ini berlaku untuk database pengguna dan sistem, termasuk database master.
Mengaktifkan Enkripsi Data Transparan (TDE) dapat menambahkan lapisan kedua dari enkripsi data untuk kumpulan SQL khusus. Ini melakukan enkripsi I/O real time dan dekripsi file database, file log transaksi, dan pencadangan saat tidak aktif tanpa memerlukan perubahan apa pun pada aplikasi. Secara default, ini menggunakan SEL 256.
Secara default, TDE melindungi kunci enkripsi database (DEK) dengan sertifikat server bawaan (dikelola layanan). Ada opsi untuk bring your own key (BYOK) yang dapat disimpan dengan aman di Azure Key Vault.
Kumpulan tanpa server SQL Azure Synapse dan kumpulan Apache Spark adalah mesin analitik yang bekerja langsung di Azure Data Lake Gen2 (ALDS Gen2) atau Azure Blob Storage. Runtime analitik ini tidak memiliki penyimpanan permanen dan mengandalkan teknologi enkripsi Azure Storage untuk perlindungan data. Secara default, Azure Storage mengenkripsi semua data menggunakan enkripsi sisi server (SSE). Ini diaktifkan untuk semua jenis penyimpanan (termasuk ADLS Gen2) dan tidak dapat dinonaktifkan. SSE mengenkripsi dan mendekripsi data secara transparan menggunakan SEL 256.
Ada dua opsi enkripsi SSE:
- Kunci yang dikelola Microsoft: Microsoft mengelola setiap aspek kunci enkripsi, termasuk penyimpanan kunci, kepemilikan, dan rotasi. Ini sepenuhnya transparan untuk pelanggan.
- Kunci yang dikelola pelanggan: Dalam hal ini, kunci simetris yang digunakan untuk mengenkripsi data di Azure Storage dienkripsi menggunakan kunci yang disediakan pelanggan. Ini mendukung kunci RSA dan RSA-HSM (Modul Keamanan Perangkat Keras) dengan ukuran 2048, 3072, dan 4096. Kunci dapat disimpan dengan aman di Azure Key Vault atau Azure Key Vault Managed HSM. Ini memberikan kontrol akses halus dari kunci dan manajemennya, termasuk penyimpanan, pencadangan, dan rotasi. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk enkripsi Azure Storage.
Sementara SSE membentuk enkripsi lapisan pertama, pelanggan yang berhati-hati dapat mengenkripsi ganda dengan mengaktifkan lapisan kedua dari enkripsi SEL 256-bit di lapisan infrastruktur Azure Storage. Dikenal sebagai enkripsi infrastruktur, ini menggunakan kunci yang dikelola platform beserta kunci terpisah dari SSE. Jadi, data di akun penyimpanan dienkripsi dua kali; sekali di tingkat layanan dan sekali di tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan kunci yang berbeda.
Data saat transit
Azure Synapse, kumpulan SQL khusus (sebelumnya SQL DW), dan kumpulan SQL tanpa server menggunakan protokol Tabular Data Stream (TDS) untuk berkomunikasi antara titik akhir kumpulan SQL dan komputer klien. TDS bergantung pada Keamanan Lapisan Transportasi (TLS) untuk enkripsi saluran, memastikan semua paket data diamankan dan dienkripsi antara titik akhir dan komputer klien. Ini menggunakan sertifikat server yang ditandatangani dari Otoritas Sertifikat (OS) yang digunakan untuk enkripsi TLS, yang dikelola oleh Microsoft. Azure Synapse mendukung enkripsi data saat transit dengan TLS v1.2, menggunakan enkripsi SEL 256.
Azure Synapse memanfaatkan TLS untuk memastikan data dienkripsi saat bergerak. Kumpulan khusus SQL mendukung versi TLS 1.0, TLS 1.1, dan TLS 1.2 untuk enkripsi di mana driver yang disediakan Microsoft menggunakan TLS 1.2 secara default. Kumpulan SQL tanpa server dan kumpulan Apache Spark menggunakan TLS 1.2 untuk semua koneksi keluar.
Langkah berikutnya
Pada artikel berikutnya dalam rangkaian dokumen resmi ini, pelajari tentang kontrol akses.