Technisch document over beveiliging van Azure Synapse Analytics: Gegevensbeveiliging
Notitie
Dit artikel maakt deel uit van de white paper-reeks artikelen over beveiliging van Azure Synapse Analytics. Zie het technische document over beveiliging van Azure Synapse Analytics voor een overzicht van de reeks.
Detectie en classificatie van gegevens
Organisaties moeten hun gegevens beschermen om te voldoen aan federale, lokale en bedrijfsrichtlijnen om de risico's van gegevenslekken te beperken. Een uitdaging voor organisaties is: Hoe beveiligt u de gegevens als u niet weet waar deze zich bevinden? Een ander is: Welk beveiligingsniveau is nodig?- omdat sommige gegevenssets meer beveiliging vereisen dan andere.
Stel dat een organisatie met honderden of duizenden bestanden die zijn opgeslagen in hun data lake, en honderden of duizenden tabellen in hun databases. Het zou kunnen profiteren van een proces dat automatisch elke rij en kolom van het bestandssysteem of de tabel scant en kolommen classificeert als mogelijk gevoelige gegevens. Dit proces wordt gegevensdetectie genoemd.
Zodra het proces voor gegevensdetectie is voltooid, biedt het classificatieaanbeveling op basis van een vooraf gedefinieerde set patronen, trefwoorden en regels. Iemand kan vervolgens de aanbevelingen bekijken en vertrouwelijkheidsclassificatielabels toepassen op de juiste kolommen. Dit proces wordt classificatie genoemd.
Azure Synapse biedt twee opties voor gegevensdetectie en -classificatie:
- Gegevensdetectie en -classificatie, die is ingebouwd in Azure Synapse en toegewezen SQL-pool (voorheen SQL DW).
- Microsoft Purview, een geïntegreerde oplossing voor gegevensbeheer waarmee u on-premises, multicloud- en SaaS-gegevens (Software-as-a-Service) kunt beheren en beheren. Het kan gegevensdetectie, herkomstidentificatie en gegevensclassificatie automatiseren. Door een uniforme toewijzing van gegevensassets en hun relaties te maken, kunnen gegevens gemakkelijk worden gedetecteerd.
Notitie
Microsoft Purview-gegevensdetectie en -classificatie is in openbare preview voor Azure Synapse, toegewezen SQL-pool (voorheen SQL DW) en serverloze SQL-pool. Gegevensherkomst wordt momenteel echter niet ondersteund voor Azure Synapse, toegewezen SQL-pool (voorheen SQL DW) en serverloze SQL-pool. Apache Spark-pool ondersteunt alleen tracering van herkomst.
Gegevensversleuteling
Gegevens worden in rust versleuteld en onderweg.
Inactieve gegevens
Azure Storage versleutelt standaard automatisch alle gegevens met 256-bits Advanced Encryption Standard-versleuteling (AES 256). Het is een van de sterkste blok ciphers beschikbaar en is FIPS 140-2 compatibel. Het platform beheert de versleutelingssleutel en vormt de eerste laag van gegevensversleuteling. Deze versleuteling is van toepassing op zowel gebruikers- als systeemdatabases, inclusief de hoofddatabase .
Door Transparent Data Encryption (TDE) in te schakelen, kan een tweede laag gegevensversleuteling worden toegevoegd voor toegewezen SQL-pools. Het voert realtime I/O-versleuteling en ontsleuteling van databasebestanden, transactielogboekbestanden en back-ups in rust uit zonder dat er wijzigingen in de toepassing nodig zijn. Standaard wordt AES 256 gebruikt.
Standaard beveiligt TDE de databaseversleutelingssleutel (DEK) met een ingebouwd servercertificaat (service beheerd). Er is een optie om byok (Bring Your Own Key) te gebruiken die veilig kan worden opgeslagen in Azure Key Vault.
Serverloze Azure Synapse SQL-pool en Apache Spark-pool zijn analytische engines die rechtstreeks werken op Azure Data Lake Gen2 (ALDS Gen2 ) of Azure Blob Storage. Deze analyseruntimes hebben geen permanente opslag en zijn afhankelijk van Azure Storage-versleutelingstechnologieën voor gegevensbeveiliging. Azure Storage versleutelt standaard alle gegevens met behulp van versleuteling aan de serverzijde (SSE). Deze optie is ingeschakeld voor alle opslagtypen (inclusief ADLS Gen2) en kan niet worden uitgeschakeld. SSE versleutelt en ontsleutelt gegevens transparant met behulp van AES 256.
Er zijn twee SSE-versleutelingsopties:
- Door Microsoft beheerde sleutels: Microsoft beheert elk aspect van de versleutelingssleutel, waaronder sleutelopslag, eigendom en rotaties. Het is volledig transparant voor klanten.
- Door de klant beheerde sleutels: in dit geval wordt de symmetrische sleutel die wordt gebruikt voor het versleutelen van gegevens in Azure Storage versleuteld met behulp van een door de klant geleverde sleutel. Het ondersteunt RSA- en RSA-HSM-sleutels (Hardware Security Modules) van grootten 2048, 3072 en 4096. Sleutels kunnen veilig worden opgeslagen in Azure Key Vault of beheerde HSM van Azure Key Vault. Het biedt fijnmazig toegangsbeheer van de sleutel en het bijbehorende beheer, waaronder opslag, back-up en rotaties. Zie Door de klant beheerde sleutels voor Azure Storage-versleuteling voor meer informatie.
Hoewel SSE de eerste versleutelingslaag vormt, kunnen voorzichtige klanten dubbele versleuteling uitvoeren door een tweede laag van 256-bits AES-versleuteling in te schakelen op de Infrastructuurlaag van Azure Storage. Bekend als infrastructuurversleuteling, wordt een door het platform beheerde sleutel samen met een afzonderlijke sleutel van SSE gebruikt. Gegevens in het opslagaccount worden dus twee keer versleuteld; eenmaal op serviceniveau en eenmaal op infrastructuurniveau met twee verschillende versleutelingsalgoritmen en verschillende sleutels.
Actieve gegevens
Azure Synapse, toegewezen SQL-pool (voorheen SQL DW) en serverloze SQL-pool gebruiken het TDS-protocol (Tabular Data Stream) om te communiceren tussen het eindpunt van de SQL-pool en een clientcomputer. TDS is afhankelijk van TLS (Transport Layer Security) voor kanaalversleuteling, zodat alle gegevenspakketten worden beveiligd en versleuteld tussen eindpunt en clientcomputer. Het maakt gebruik van een ondertekend servercertificaat van de certificeringsinstantie (CA) die wordt gebruikt voor TLS-versleuteling, beheerd door Microsoft. Azure Synapse biedt ondersteuning voor gegevensversleuteling tijdens overdracht met TLS v1.2, met behulp van AES 256-versleuteling.
Azure Synapse maakt gebruik van TLS om ervoor te zorgen dat gegevens in beweging worden versleuteld. Toegewezen SQL-pools ondersteunen TLS 1.0-, TLS 1.1- en TLS 1.2-versies voor versleuteling waarbij door Microsoft geleverde stuurprogramma's standaard TLS 1.2 gebruiken. Serverloze SQL-pool en Apache Spark-pool gebruiken TLS 1.2 voor alle uitgaande verbindingen.
Volgende stappen
In het volgende artikel in deze white paper-reeks vindt u meer informatie over toegangsbeheer.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor