Enkripsi untuk ruang kerja Azure Synapse Analytics

  • Artikel

Artikel ini akan menjelaskan:

  • Enkripsi data tidak aktif di ruang kerja Synapse Analytics.
  • Konfigurasi ruang kerja Synapse untuk mengaktifkan enkripsi dengan kunci yang dikelola pelanggan.
  • Mengelola kunci yang digunakan untuk mengenkripsi data di ruang kerja.

Enkripsi data tidak aktif

Solusi Enkripsi Tidak Aktif lengkap memastikan data tidak pernah disimpan dalam bentuk tidak terenkripsi. Enkripsi ganda data tidak aktif mengurangi ancaman dengan dua lapisan enkripsi terpisah untuk melindungi dari bahaya lapisan tunggal mana pun. Azure Synapse Analytics menawarkan enkripsi lapisan kedua untuk data di ruang kerja Anda dengan kunci yang dikelola pelanggan. Kunci ini dilindungi di Azure Key Vault, yang memungkinkan Anda mengambil alih kepemilikan manajemen dan rotasi kunci.

Lapisan pertama enkripsi untuk layanan Azure diaktifkan dengan kunci yang dikelola platform. Secara default, Disk Azure, dan data di akun Azure Storage secara otomatis dienkripsi saat tidak aktif. Pelajari selengkapnya tentang bagaimana enkripsi digunakan di Microsoft Azure dalam Ringkasan Enkripsi Azure.

Catatan

Beberapa item yang dianggap sebagai konten pelanggan, seperti nama tabel, nama objek, dan nama indeks, dapat dikirimkan dalam file log untuk dukungan dan pemecahan masalah oleh Microsoft.

Enkripsi Azure Synapse

Bagian ini akan membantu Anda lebih memahami bagaimana enkripsi kunci yang dikelola pelanggan diaktifkan dan diterapkan di ruang kerja Synapse. Enkripsi ini menggunakan kunci yang sudah ada atau kunci baru yang dibuat di Azure Key Vault. Satu kunci digunakan untuk mengenkripsi semua data di ruang kerja. Ruang kerja Synapse mendukung kunci berukuran RSA 2048 dan 3072 byte, serta kunci RSA-HSM.

Catatan

Ruang kerja sinapsis tidak mendukung penggunaan kunci EC, EC-HSM, dan oct-HSM untuk enkripsi.

Data dalam komponen Synapse berikut dienkripsi dengan kunci yang dikelola pelanggan yang dikonfigurasi di tingkat ruang kerja:

  • kumpulan SQL
  • Kumpulan SQL khusus
  • Kumpulan SQL tanpa server
  • Kumpulan Data Explorer
  • Kumpulan Apache Spark
  • Runtime integrasi, alur, himpunan data Azure Data Factory.

Konfigurasi enkripsi ruang kerja

Ruang kerja dapat dikonfigurasi untuk mengaktifkan enkripsi ganda dengan kunci yang dikelola pelanggan pada saat pembuatan ruang kerja. Aktifkan enkripsi ganda menggunakan kunci yang dikelola pelanggan pada tab "Keamanan" saat Anda membuat ruang kerja baru. Anda dapat memilih untuk memasukkan URI pengidentifikasi kunci atau memilih dari daftar brankas kunci di wilayah yang sama dengan ruang kerja. Key Vault itu sendiri harus memiliki perlindungan penghapusan menyeluruh yang diaktifkan.

Penting

Pengaturan konfigurasi untuk enkripsi ganda tidak dapat diubah setelah ruang kerja dibuat.

Diagram ini menunjukkan opsi yang harus dipilih untuk mengaktifkan ruang kerja enkripsi ganda dengan kunci yang dikelola pelanggan.

Akses kunci dan aktivasi ruang kerja

Model enkripsi Azure Synapse dengan kunci yang dikelola pelanggan melibatkan ruang kerja yang mengakses kunci di Azure Key Vault untuk mengenkripsi dan mendekripsi sesuai kebutuhan. Kunci dibuat menjadi dapat diakses ke ruang kerja baik melalui kebijakan akses atau RBAC Azure Key Vault. Saat memberikan izin melalui kebijakan akses Azure Key Vault, pilih opsi “Hanya aplikasi” selama pembuatan kebijakan (pilih identitas terkelola ruang kerja dan jangan tambahkan sebagai aplikasi resmi).

Identitas yang dikelola ruang kerja harus diberikan izin yang diperlukan di brankas kunci sebelum ruang kerja dapat diaktifkan. Pendekatan bertahap untuk aktivasi ruang kerja ini memastikan bahwa data di ruang kerja dienkripsi dengan kunci yang dikelola pelanggan. Enkripsi dapat diaktifkan atau dinonaktifkan untuk Kumpulan SQL khusus individu. Setiap kumpulan khusus tidak diaktifkan untuk enkripsi secara default.

Menggunakan Identitas Terkelola yang Ditetapkan Pengguna

Ruang kerja dapat dikonfigurasi untuk menggunakan Identitas Terkelola yang Ditetapkan Pengguna untuk mengakses kunci yang dikelola pelanggan yang disimpan di Azure Key Vault. Konfigurasikan identitas Terkelola yang Ditetapkan pengguna untuk menghindari aktivasi bertahap ruang kerja Azure Synapse Anda saat menggunakan enkripsi ganda dengan kunci yang dikelola pelanggan. Peran bawaan Kontributor Identitas Terkelola diperlukan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke ruang kerja Azure Synapse.

Catatan

Identitas Terkelola yang Ditetapkan pengguna tidak dapat dikonfigurasi untuk mengakses kunci yang dikelola pelanggan saat Azure Key Vault berada di belakang firewall.

Diagram ini menunjukkan opsi yang harus dipilih guna mengaktifkan ruang kerja untuk menggunakan identitas terkelola yang ditetapkan pengguna bagi enkripsi ganda dengan kunci yang dikelola pelanggan.

Izin

Untuk mengenkripsi atau mendekripsi data tidak aktif, identitas terkelola harus memiliki izin berikut. Demikian pula, jika Anda menggunakan templat Resource Manager untuk membuat kunci baru, parameter 'keyOps' templat harus memiliki izin berikut:

  • WrapKey (untuk memasukkan kunci ke dalam Key Vault saat membuat kunci baru).
  • UnwrapKey (untuk mendapatkan kunci dekripsi).
  • Get (untuk membaca bagian publik dari sebuah kunci)

Aktivasi ruang kerja

Jika Anda tidak mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk mengakses kunci yang dikelola pelanggan selama pembuatan ruang kerja, ruang kerja Anda akan tetap dalam status "Tertunda" sampai aktivasi berhasil. Ruang kerja harus diaktifkan sebelum Anda dapat sepenuhnya menggunakan semua fungsi. Misalnya, Anda hanya dapat membuat kumpulan SQL khusus baru setelah aktivasi berhasil. Berikan akses identitas terkelola ruang kerja ke brankas kunci dan pilih link aktivasi di banner portal Azure ruang kerja. Setelah aktivasi selesai dengan sukses, ruang kerja Anda siap digunakan dengan jaminan bahwa semua data di dalamnya dilindungi dengan kunci yang dikelola pelanggan. Seperti yang disebutkan sebelumnya, brankas kunci harus memiliki perlindungan penghapusan menyeluruh yang diaktifkan agar aktivasi berhasil.

Diagram ini menunjukkan banner dengan tautan aktivasi untuk ruang kerja.

Mengelola kunci yang dikelola pelanggan ruang kerja

Anda dapat mengubah kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi data dari halaman Enkripsi di portal Azure. Selain itu, Anda dapat memilih kunci baru menggunakan pengidentifikasi kunci atau memilih dari Key Vault yang dapat Anda akses di wilayah yang sama dengan ruang kerja. Jika Anda memilih kunci di brankas kunci yang berbeda dari yang sebelumnya digunakan, berikan izin "Get", "Wrap", dan "Unwrap" identitas yang dikelola ruang kerja di brankas kunci baru. Ruang kerja akan memvalidasi aksesnya ke brankas kunci baru dan semua data di ruang kerja akan dienkripsi ulang dengan kunci baru.

Diagram ini menunjukkan bagian Enkripsi ruang kerja di portal Azure.

Penting

Saat mengubah kunci enkripsi ruang kerja, simpan kunci tersebut hingga Anda menggantinya di ruang kerja dengan kunci baru. Hal ini untuk memungkinkan dekripsi data dengan kunci lama sebelum dienkripsi ulang dengan kunci baru.

Kebijakan Azure Key Vaults untuk rotasi kunci otomatis secara berkala, atau tindakan pada kunci dapat menghasilkan pembuatan versi kunci baru. Anda dapat memilih untuk mengenkripsi ulang semua data di ruang kerja dengan versi terbaru dari kunci aktif. Untuk mengenkripsi ulang, ubah kunci di portal Azure menjadi kunci sementara, lalu alihkan kembali ke kunci yang ingin Anda gunakan untuk enkripsi. Sebagai contoh, untuk memperbarui enkripsi data menggunakan versi terbaru dari kunci aktif Key1, ubah kunci yang dikelola pelanggan ruang kerja menjadi kunci sementara, Key2. Tunggu enkripsi dengan Key2 hingga selesai. Kemudian alihkan kunci yang dikelola pelanggan ruang kerja kembali ke Key1-data di ruang kerja akan dienkripsi ulang dengan Key1 versi terbaru.

Catatan

Azure Synapse Analytics tidak mengenkripsi ulang data secara otomatis saat versi kunci baru dibuat. Untuk memastikan konsistensi di ruang kerja Anda, paksa enkripsi ulang data menggunakan proses yang dijelaskan di atas.

Enkripsi Data Transparan SQL dengan kunci yang dikelola layanan

Enkripsi Data Transparan SQL (TDE) yang tersedia untuk Kumpulan SQL khusus di ruang kerja tidak diaktifkan untuk enkripsi ganda. Dalam jenis ruang kerja ini, kunci yang dikelola layanan digunakan untuk menyediakan enkripsi ganda pada data di kumpulan SQL khusus. TDE dengan kunci yang dikelola layanan dapat diaktifkan atau dinonaktifkan untuk kumpulan SQL khusus individu.

Cmdlet untuk Azure SQL Database dan Azure Synapse

Untuk mengonfigurasi TDE melalui PowerShell, Anda harus tersambung sebagai Pemilik Azure, Kontributor, atau Pengelola Keamanan SQL.

Gunakan cmdlet berikut untuk ruang kerja Azure Synapse.

Cmdlet Deskripsi
Set-AzSynapseSqlPoolTransparentDataEncryption Mengaktifkan atau menonaktifkan enkripsi data transparan untuk kumpulan SQL.
Get-AzSynapseSqlPoolTransparentDataEncryption Mendapatkan status enkripsi data transparan untuk kumpulan SQL.
New-AzSynapseWorkspaceKey Menambahkan kunci Key Vault ke ruang kerja.
Get-AzSynapseWorkspaceKey Mendapatkan kunci Key Vault untuk ruang kerja
Update-AzSynapseWorkspace Mengatur pelindung enkripsi data transparan untuk ruang kerja.
Get-AzSynapseWorkspace Mendapatkan pelindung enkripsi data transparan
Remove-AzSynapseWorkspaceKey Menghapus kunci Key Vault dari ruang kerja.

Langkah berikutnya