Versleuteling voor Azure Synapse Analytics-werkruimten
In dit artikel wordt het volgende beschreven:
- Versleuteling van data-at-rest in Synapse Analytics-werkruimten.
- Configuratie van Synapse-werkruimten om versleuteling met een door de klant beheerde sleutel in te schakelen.
- Sleutels beheren die worden gebruikt voor het versleutelen van gegevens in werkruimten.
Versleuteling van data-at-rest
Een volledige versleutelings-at-rest-oplossing zorgt ervoor dat de gegevens nooit in niet-versleutelde vorm worden bewaard. Dubbele versleuteling van data-at-rest vermindert bedreigingen met twee afzonderlijke versleutelingslagen om bescherming te bieden tegen inbreuk op één laag. Azure Synapse Analytics biedt een tweede versleutelingslaag voor de gegevens in uw werkruimte met een door de klant beheerde sleutel. Deze sleutel wordt beveiligd in uw Azure Key Vault, zodat u eigenaar kunt worden van sleutelbeheer en -rotatie.
De eerste versleutelingslaag voor Azure-services is ingeschakeld met door het platform beheerde sleutels. Standaard worden Azure Disks en gegevens in Azure Storage-accounts automatisch versleuteld at rest. Meer informatie over het gebruik van versleuteling in Microsoft Azure vindt u in het Overzicht van Azure Encryption.
Notitie
Sommige items die als klantinhoud worden beschouwd, zoals tabelnamen, objectnamen en indexnamen, kunnen worden verzonden in logboekbestanden voor ondersteuning en probleemoplossing door Microsoft.
Azure Synapse versleuteling
In deze sectie krijgt u meer inzicht in hoe door de klant beheerde sleutelversleuteling wordt ingeschakeld en afgedwongen in Synapse-werkruimten. Deze versleuteling maakt gebruik van bestaande sleutels of nieuwe sleutels die zijn gegenereerd in Azure Key Vault. Er wordt één sleutel gebruikt om alle gegevens in een werkruimte te versleutelen. Synapse-werkruimten ondersteunen RSA 2048- en 3072-byte-sleutels en RSA-HSM-sleutels.
Notitie
Synapse-werkruimten bieden geen ondersteuning voor het gebruik van EC-, EC-HSM- en oct-HSM-sleutels voor versleuteling.
De gegevens in de volgende Synapse-onderdelen worden versleuteld met de door de klant beheerde sleutel die is geconfigureerd op werkruimteniveau:
- SQL-pools
- Toegewezen SQL-pools
- Serverloze SQL-pools
- Data Explorer zwembaden
- Apache Spark-pools
- Azure Data Factory integratieruntimes, pijplijnen en gegevenssets.
Configuratie van werkruimteversleuteling
Werkruimten kunnen worden geconfigureerd om dubbele versleuteling met een door de klant beheerde sleutel in te schakelen op het moment dat de werkruimte wordt gemaakt. Schakel dubbele versleuteling in met behulp van een door de klant beheerde sleutel op het tabblad Beveiliging bij het maken van uw nieuwe werkruimte. U kunt ervoor kiezen om een sleutel-id-URI in te voeren of een keuze te maken uit een lijst met sleutelkluizen in dezelfde regio als de werkruimte. Voor de Key Vault zelf moet beveiliging tegen opschonen zijn ingeschakeld.
Belangrijk
De configuratie-instelling voor dubbele versleuteling kan niet worden gewijzigd nadat de werkruimte is gemaakt.
Sleuteltoegang en werkruimteactivering
Het Azure Synapse versleutelingsmodel met door de klant beheerde sleutels omvat dat de werkruimte toegang heeft tot de sleutels in Azure Key Vault om naar behoefte te versleutelen en ontsleutelen. De sleutels zijn toegankelijk voor de werkruimte via een toegangsbeleid of via Azure Key Vault RBAC. Wanneer u machtigingen verleent via een Azure Key Vault-toegangsbeleid, kiest u de optie Alleen toepassing tijdens het maken van het beleid (selecteer de beheerde identiteit van de werkruimten en voeg deze niet toe als een geautoriseerde toepassing).
Aan de beheerde identiteit van de werkruimte moet de benodigde machtigingen voor de sleutelkluis worden verleend voordat de werkruimte kan worden geactiveerd. Deze gefaseerde benadering van het activeren van werkruimten zorgt ervoor dat gegevens in de werkruimte worden versleuteld met de door de klant beheerde sleutel. Versleuteling kan worden in- of uitgeschakeld voor afzonderlijke toegewezen SQL-pools. Elke toegewezen pool is niet standaard ingeschakeld voor versleuteling.
Een door de gebruiker toegewezen beheerde identiteit gebruiken
Werkruimten kunnen worden geconfigureerd voor het gebruik van een door de gebruiker toegewezen beheerde identiteit voor toegang tot uw door de klant beheerde sleutel die is opgeslagen in Azure Key Vault. Configureer een door de gebruiker toegewezen beheerde identiteit om gefaseerde activering van uw Azure Synapse werkruimte te voorkomen wanneer u dubbele versleuteling gebruikt met door de klant beheerde sleutels. De ingebouwde rol Inzender voor beheerde identiteiten is vereist om een door de gebruiker toegewezen beheerde identiteit toe te wijzen aan een Azure Synapse werkruimte.
Notitie
Een door de gebruiker toegewezen beheerde identiteit kan niet worden geconfigureerd voor toegang tot door de klant beheerde sleutel wanneer Azure Key Vault zich achter een firewall bevindt.
Machtigingen
Als u data-at-rest wilt versleutelen of ontsleutelen, moet de beheerde identiteit over de volgende machtigingen beschikken. Als u een Resource Manager-sjabloon gebruikt om een nieuwe sleutel te maken, moet de parameter 'keyOps' van de sjabloon de volgende machtigingen hebben:
- WrapKey (om een sleutel in te voegen in Key Vault bij het maken van een nieuwe sleutel).
- UnwrapKey (om de sleutel voor ontsleuteling op te halen).
- Ophalen (om het openbare deel van een sleutel te lezen)
Activering van werkruimte
Als u een door de gebruiker toegewezen beheerde identiteit niet configureert voor toegang tot door de klant beheerde sleutels tijdens het maken van de werkruimte, blijft uw werkruimte in de status 'In behandeling' totdat de activering is voltooid. De werkruimte moet worden geactiveerd voordat u alle functionaliteit volledig kunt gebruiken. U kunt bijvoorbeeld alleen een nieuwe toegewezen SQL-pool maken nadat de activering is voltooid. Ververleent de beheerde identiteit van de werkruimte toegang tot de sleutelkluis en selecteer de activeringskoppeling in de werkruimte Azure Portal banner. Zodra de activering is voltooid, is uw werkruimte klaar voor gebruik, met de zekerheid dat alle gegevens erin zijn beveiligd met uw door de klant beheerde sleutel. Zoals eerder vermeld, moet de beveiliging tegen opschonen zijn ingeschakeld voor de sleutelkluis om de activering te laten slagen.
De door de klant beheerde sleutel van de werkruimte beheren
U kunt de door de klant beheerde sleutel voor het versleutelen van gegevens wijzigen op de pagina Versleuteling in de Azure Portal. Ook hier kunt u een nieuwe sleutel kiezen met behulp van een sleutel-id of een selectie maken uit sleutelkluizen waartoe u toegang hebt in dezelfde regio als de werkruimte. Als u een sleutel kiest in een andere sleutelkluis dan de sleutel die eerder is gebruikt, verleent u de door de werkruimte beheerde identiteit de machtigingen 'Get', 'Wrap' en 'Unwrap' voor de nieuwe sleutelkluis. De werkruimte valideert de toegang tot de nieuwe sleutelkluis en alle gegevens in de werkruimte worden opnieuw versleuteld met de nieuwe sleutel.
Belangrijk
Wanneer u de versleutelingssleutel van een werkruimte wijzigt, behoudt u de sleutel totdat u deze in de werkruimte vervangt door een nieuwe sleutel. Dit is om het ontsleutelen van gegevens met de oude sleutel toe te staan voordat deze opnieuw wordt versleuteld met de nieuwe sleutel.
Azure Key Vault-beleid voor automatische, periodieke rotatie van sleutels of acties op de sleutels kan leiden tot het maken van nieuwe sleutelversies. U kunt ervoor kiezen om alle gegevens in de werkruimte opnieuw te versleutelen met de nieuwste versie van de actieve sleutel. Als u opnieuw wilt versleutelen, wijzigt u de sleutel in de Azure Portal in een tijdelijke sleutel en schakelt u vervolgens terug naar de sleutel die u wilt gebruiken voor versleuteling. Als u bijvoorbeeld gegevensversleuteling wilt bijwerken met behulp van de nieuwste versie van de actieve sleutel Key1, wijzigt u de door de werkruimte door de klant beheerde sleutel in een tijdelijke sleutel, Sleutel2. Wacht tot de versleuteling met Key2 is voltooid. Schakel vervolgens de door de klant beheerde sleutel van de werkruimte terug naar Key1-data in de werkruimte wordt opnieuw versleuteld met de nieuwste versie van Key1.
Notitie
Azure Synapse Analytics versleutelt gegevens niet automatisch opnieuw wanneer nieuwe sleutelversies worden gemaakt. Als u consistentie in uw werkruimte wilt garanderen, dwingt u het opnieuw versleutelen van gegevens af met behulp van het hierboven beschreven proces.
SQL Transparent Data Encryption met door de service beheerde sleutels
SQL Transparent Data Encryption (TDE) is beschikbaar voor toegewezen SQL-pools in werkruimten die niet zijn ingeschakeld voor dubbele versleuteling. In dit type werkruimte wordt een door de service beheerde sleutel gebruikt om dubbele versleuteling te bieden voor de gegevens in de toegewezen SQL-pools. TDE met de door de service beheerde sleutel kan worden in- of uitgeschakeld voor afzonderlijke toegewezen SQL-pools.
Cmdlets voor Azure SQL Database en Azure Synapse
Als u TDE wilt configureren via PowerShell, moet u zijn verbonden als Azure-eigenaar, Inzender of SQL Security Manager.
Gebruik de volgende cmdlets voor Azure Synapse werkruimte.
| Cmdlet | Beschrijving |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Hiermee schakelt u transparante gegevensversleuteling voor een SQL-pool in of uit. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Hiermee wordt de status van transparante gegevensversleuteling voor een SQL-pool opgehaald. |
| New-AzSynapseWorkspaceKey | Hiermee voegt u een Key Vault sleutel toe aan een werkruimte. |
| Get-AzSynapseWorkspaceKey | Hiermee haalt u de Key Vault sleutels voor een werkruimte op |
| AzSynapseWorkspace bijwerken | Hiermee stelt u de transparante gegevensversleutelingsbeveiliging voor een werkruimte in. |
| Get-AzSynapseWorkspace | Hiermee haalt u de transparent data encryption protector op |
| Remove-AzSynapseWorkspaceKey | Hiermee verwijdert u een Key Vault sleutel uit een werkruimte. |