Oficjalny dokument zabezpieczeń usługi Azure Synapse Analytics: Ochrona danych
Uwaga
Ten artykuł stanowi część serii artykułów z dokumentacji zabezpieczeń usługi Azure Synapse Analytics. Aby zapoznać się z omówieniem serii, zobacz oficjalny dokument dotyczący zabezpieczeń usługi Azure Synapse Analytics.
Odnajdywanie i klasyfikacja danych
Organizacje muszą chronić swoje dane w celu zachowania zgodności z wytycznymi federalnymi, lokalnymi i firmowymi w celu ograniczenia ryzyka naruszenia danych. Jednym z wyzwań, przed którymi stoją organizacje: Jak chronić dane, jeśli nie wiesz, gdzie jest? Inny: Jaki poziom ochrony jest potrzebny?— ponieważ niektóre zestawy danych wymagają większej ochrony niż inne.
Wyobraź sobie organizację z setkami lub tysiącami plików przechowywanych w usłudze Data Lake, a setki lub tysiące tabel w bazach danych. Skorzystałoby to z procesu, który automatycznie skanuje każdy wiersz i kolumnę systemu plików lub tabeli i klasyfikuje kolumny jako potencjalnie poufne dane. Ten proces jest nazywany odnajdywaniem danych.
Po zakończeniu procesu odnajdywania danych udostępnia ona zalecenia dotyczące klasyfikacji na podstawie wstępnie zdefiniowanego zestawu wzorców, słów kluczowych i reguł. Ktoś może następnie przejrzeć zalecenia i zastosować etykiety poufności do odpowiednich kolumn. Ten proces jest znany jako klasyfikacja.
Usługa Azure Synapse oferuje dwie opcje odnajdywania i klasyfikacji danych:
- Odnajdywanie i klasyfikacja danych wbudowane w usługę Azure Synapse i dedykowaną pulę SQL (dawniej SQL DW).
- Microsoft Purview, czyli ujednolicone rozwiązanie do zapewniania ładu danych, które pomaga zarządzać danymi lokalnymi, wielochmurowymi i danymi saaS oraz zarządzać nimi. Może zautomatyzować odnajdywanie danych, identyfikację pochodzenia i klasyfikację danych. Dzięki utworzeniu ujednoliconej mapy zasobów danych i ich relacji można łatwo odnajdywać dane.
Uwaga
Odnajdywanie i klasyfikacja danych usługi Microsoft Purview jest dostępne w publicznej wersji zapoznawczej dla usługi Azure Synapse, dedykowanej puli SQL (dawniej SQL DW) i bezserwerowej puli SQL. Jednak pochodzenie danych nie jest obecnie obsługiwane w przypadku usługi Azure Synapse, dedykowanej puli SQL (dawniej SQL DW) i bezserwerowej puli SQL. Pula platformy Apache Spark obsługuje tylko śledzenie pochodzenia.
Szyfrowanie danych
Dane są szyfrowane w spoczynku i przesyłane.
Dane magazynowane
Domyślnie usługa Azure Storage automatycznie szyfruje wszystkie dane przy użyciu 256-bitowego szyfrowania Advanced Encryption Standard (AES 256). Jest to jeden z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2. Platforma zarządza kluczem szyfrowania i stanowi pierwszą warstwę szyfrowania danych. To szyfrowanie dotyczy zarówno baz danych użytkowników, jak i systemowych, w tym bazy danych master .
Włączenie funkcji Transparent Data Encryption (TDE) może dodać drugą warstwę szyfrowania danych dla dedykowanych pul SQL. Wykonuje szyfrowanie we/wy w czasie rzeczywistym i odszyfrowywanie plików bazy danych, plików dzienników transakcji i kopii zapasowych magazynowanych bez konieczności wprowadzania żadnych zmian w aplikacji. Domyślnie używa AES 256.
Domyślnie funkcja TDE chroni klucz szyfrowania bazy danych (DEK) za pomocą wbudowanego certyfikatu serwera (zarządzanego przez usługę). Istnieje możliwość bezpiecznego przechowywania własnego klucza (BYOK) w usłudze Azure Key Vault.
Pula bezserwerowa usługi Azure Synapse SQL i pula platformy Apache Spark to aparaty analityczne, które działają bezpośrednio w usłudze Azure Data Lake Gen2 (ALDS Gen2 ) lub Azure Blob Storage. Te środowiska uruchomieniowe analityczne nie mają żadnego magazynu trwałego i korzystają z technologii szyfrowania usługi Azure Storage w celu ochrony danych. Domyślnie usługa Azure Storage szyfruje wszystkie dane przy użyciu szyfrowania po stronie serwera (SSE). Jest ona włączona dla wszystkich typów magazynu (w tym usługi ADLS Gen2) i nie można jej wyłączyć. Funkcja SSE szyfruje i odszyfrowuje dane w sposób niewidoczny przy użyciu algorytmu AES 256.
Dostępne są dwie opcje szyfrowania SSE:
- Klucze zarządzane przez firmę Microsoft: firma Microsoft zarządza każdym aspektem klucza szyfrowania, w tym magazynem kluczy, własnością i rotacją. Jest całkowicie niewidoczna dla klientów.
- Klucze zarządzane przez klienta: w tym przypadku klucz symetryczny używany do szyfrowania danych w usłudze Azure Storage jest szyfrowany przy użyciu klucza dostarczonego przez klienta. Obsługuje klucze RSA i RSA-HSM (sprzętowe moduły zabezpieczeń) o rozmiarach 2048, 3072 i 4096. Klucze mogą być bezpiecznie przechowywane w usłudze Azure Key Vault lub zarządzanym module HSM usługi Azure Key Vault. Zapewnia szczegółową kontrolę dostępu do klucza i zarządzania nim, w tym magazyn, tworzenie kopii zapasowych i rotacji. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage.
Podczas gdy usługa SSE stanowi pierwszą warstwę szyfrowania, ostrożni klienci mogą podwoić szyfrowanie, włączając drugą warstwę 256-bitowego szyfrowania AES w warstwie infrastruktury usługi Azure Storage. Znany jako szyfrowanie infrastruktury używa klucza zarządzanego przez platformę razem z oddzielnym kluczem od SSE. Dlatego dane na koncie magazynu są szyfrowane dwa razy; raz na poziomie usługi i raz na poziomie infrastruktury z dwoma różnymi algorytmami szyfrowania i różnymi kluczami.
Dane przesyłane
Usługa Azure Synapse, dedykowana pula SQL (dawniej SQL DW) i bezserwerowa pula SQL używają protokołu strumienia danych tabelarycznych (TDS) do komunikacji między punktem końcowym puli SQL a maszyną kliencką. TDS zależy od protokołu Transport Layer Security (TLS) na potrzeby szyfrowania kanału, zapewniając, że wszystkie pakiety danych są zabezpieczone i szyfrowane między punktem końcowym a maszyną kliencka. Używa podpisanego certyfikatu serwera z urzędu certyfikacji używanego do szyfrowania TLS zarządzanego przez firmę Microsoft. Usługa Azure Synapse obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 przy użyciu szyfrowania AES 256.
Usługa Azure Synapse korzysta z protokołu TLS, aby upewnić się, że dane są szyfrowane w ruchu. Dedykowane pule SQL obsługują protokoły TLS 1.0, TLS 1.1 i TLS 1.2 do szyfrowania, w których sterowniki dostarczone przez firmę Microsoft domyślnie używają protokołu TLS 1.2. Bezserwerowa pula SQL i pula platformy Apache Spark używają protokołu TLS 1.2 dla wszystkich połączeń wychodzących.
Następne kroki
W następnym artykule z tej serii dokumentów dowiesz się więcej o kontroli dostępu.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla