Szyfrowanie obszarów roboczych usługi Azure Synapse Analytics
W tym artykule opisano:
- Szyfrowanie danych magazynowanych w obszarach roboczych usługi Synapse Analytics.
- Konfiguracja obszarów roboczych usługi Synapse w celu włączenia szyfrowania przy użyciu klucza zarządzanego przez klienta.
- Zarządzanie kluczami używanymi do szyfrowania danych w obszarach roboczych.
Szyfrowanie danych magazynowanych
Kompletne rozwiązanie szyfrowania w spoczynku zapewnia, że dane nigdy nie są utrwalane w postaci niezaszyfrowanej. Podwójne szyfrowanie danych magazynowanych ogranicza zagrożenia z dwoma, oddzielnymi warstwami szyfrowania, aby chronić przed naruszeniami dowolnego pojedynczej warstwy. Azure Synapse Analytics oferuje drugą warstwę szyfrowania danych w obszarze roboczym przy użyciu klucza zarządzanego przez klienta. Ten klucz jest chroniony w usłudze Azure Key Vault, co umożliwia przejęcie na własność zarządzania kluczami i rotacji.
Pierwsza warstwa szyfrowania dla usług platformy Azure jest włączona z kluczami zarządzanymi przez platformę. Domyślnie dyski platformy Azure i dane na kontach usługi Azure Storage są automatycznie szyfrowane w spoczynku. Dowiedz się więcej na temat sposobu użycia szyfrowania na platformie Microsoft Azure w temacie Omówienie usługi Azure Encryption.
Uwaga
Niektóre elementy uważane za zawartość klienta, takie jak nazwy tabel, nazwy obiektów i nazwy indeksów, mogą być przesyłane w plikach dziennika w celu uzyskania pomocy technicznej i rozwiązywania problemów przez firmę Microsoft.
szyfrowanie Azure Synapse
Ta sekcja pomoże ci lepiej zrozumieć, w jaki sposób szyfrowanie kluczy zarządzanych przez klienta jest włączone i wymuszane w obszarach roboczych usługi Synapse. To szyfrowanie używa istniejących kluczy lub nowych kluczy wygenerowanych w usłudze Azure Key Vault. Pojedynczy klucz służy do szyfrowania wszystkich danych w obszarze roboczym. Obszary robocze usługi Synapse obsługują klucze o rozmiarze bajtów RSA 2048 i 3072 oraz klucze RSA-HSM.
Uwaga
Obszary robocze usługi Synapse nie obsługują używania kluczy EC, EC-HSM i oct-HSM na potrzeby szyfrowania.
Dane w następujących składnikach usługi Synapse są szyfrowane przy użyciu klucza zarządzanego przez klienta skonfigurowanego na poziomie obszaru roboczego:
- Pule SQL
- Dedykowane pule SQL
- Bezserwerowa pula SQL
- pule Data Explorer
- Pule platformy Apache Spark
- Azure Data Factory środowiska Integration Runtime, potoki, zestawy danych.
Konfiguracja szyfrowania obszaru roboczego
Obszary robocze można skonfigurować tak, aby włączyć podwójne szyfrowanie przy użyciu klucza zarządzanego przez klienta w momencie tworzenia obszaru roboczego. Włącz podwójne szyfrowanie przy użyciu klucza zarządzanego przez klienta na karcie "Zabezpieczenia" podczas tworzenia nowego obszaru roboczego. Możesz wprowadzić identyfikator URI identyfikatora klucza lub wybrać z listy magazynów kluczy w tym samym regionie co obszar roboczy. Sam Key Vault musi mieć włączoną ochronę przeczyszczania.
Ważne
Po utworzeniu obszaru roboczego nie można zmienić ustawienia konfiguracji dla podwójnego szyfrowania.
Aktywacja dostępu do klucza i obszaru roboczego
Model szyfrowania Azure Synapse z kluczami zarządzanymi przez klienta obejmuje obszar roboczy, który uzyskuje dostęp do kluczy w usłudze Azure Key Vault w celu szyfrowania i odszyfrowywania zgodnie z potrzebami. Klucze są dostępne dla obszaru roboczego za pośrednictwem zasad dostępu lub kontroli dostępu opartej na rolach platformy Azure Key Vault. Podczas udzielania uprawnień za pośrednictwem zasad dostępu usługi Azure Key Vault wybierz opcję "Tylko aplikacja" podczas tworzenia zasad (wybierz tożsamość zarządzaną obszarów roboczych i nie dodawaj jej jako autoryzowanej aplikacji).
Tożsamość zarządzana obszaru roboczego musi mieć przyznane wymagane uprawnienia w magazynie kluczy, zanim będzie można aktywować obszar roboczy. Takie etapowe podejście do aktywacji obszaru roboczego gwarantuje, że dane w obszarze roboczym są szyfrowane przy użyciu klucza zarządzanego przez klienta. Szyfrowanie można włączyć lub wyłączyć dla poszczególnych dedykowanych pul SQL. Każda dedykowana pula nie jest domyślnie włączona do szyfrowania.
Korzystanie z tożsamości zarządzanej przypisanej przez użytkownika
Obszary robocze można skonfigurować do używania tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza zarządzanego przez klienta przechowywanego w usłudze Azure Key Vault. Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika, aby uniknąć etapowej aktywacji obszaru roboczego Azure Synapse podczas korzystania z podwójnego szyfrowania przy użyciu kluczy zarządzanych przez klienta. Wbudowana rola Współautor tożsamości zarządzanej jest wymagana do przypisywania tożsamości zarządzanej przypisanej przez użytkownika do obszaru roboczego Azure Synapse.
Uwaga
Nie można skonfigurować tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do klucza zarządzanego przez klienta, gdy usługa Azure Key Vault znajduje się za zaporą.
Uprawnienia
Aby zaszyfrować lub odszyfrować dane magazynowane, tożsamość zarządzana musi mieć następujące uprawnienia. Podobnie jeśli używasz szablonu Resource Manager do utworzenia nowego klucza, parametr "keyOps" szablonu musi mieć następujące uprawnienia:
- WrapKey (aby wstawić klucz do Key Vault podczas tworzenia nowego klucza).
- UnwrapKey (aby pobrać klucz do odszyfrowywania).
- Pobierz (aby odczytać publiczną część klucza)
Aktywacja obszaru roboczego
Jeśli nie skonfigurujesz tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do kluczy zarządzanych przez klienta podczas tworzenia obszaru roboczego, obszar roboczy pozostanie w stanie "Oczekujące", dopóki aktywacja nie powiedzie się. Obszar roboczy musi zostać aktywowany, zanim będzie można w pełni korzystać z wszystkich funkcji. Na przykład po pomyślnym zakończeniu aktywacji można utworzyć tylko nową dedykowaną pulę SQL. Udziel tożsamości zarządzanej obszaru roboczego dostęp do magazynu kluczy i wybierz link aktywacji w obszarze roboczym Azure Portal baner. Po pomyślnym zakończeniu aktywacji obszar roboczy jest gotowy do użycia z zapewnieniem, że wszystkie dane w nim są chronione przy użyciu klucza zarządzanego przez klienta. Jak wspomniano wcześniej, magazyn kluczy musi mieć włączoną ochronę przeczyszczania, aby aktywacja zakończyła się pomyślnie.
Zarządzanie kluczem obszaru roboczego zarządzanym przez klienta
Możesz zmienić klucz zarządzany przez klienta używany do szyfrowania danych ze strony Szyfrowanie w Azure Portal. W tym miejscu możesz też wybrać nowy klucz przy użyciu identyfikatora klucza lub wybrać pozycję w usłudze Key Vault, do których masz dostęp w tym samym regionie co obszar roboczy. Jeśli wybierzesz klucz w innym magazynie kluczy niż wcześniej używane, przyznaj tożsamości zarządzanej przez obszar roboczy "Get", "Zawijanie" i "Odpakuj" uprawnienia do nowego magazynu kluczy. Obszar roboczy zweryfikuje swój dostęp do nowego magazynu kluczy, a wszystkie dane w obszarze roboczym zostaną ponownie zaszyfrowane przy użyciu nowego klucza.
Ważne
Podczas zmiany klucza szyfrowania obszaru roboczego zachowaj klucz do momentu zastąpienia go w obszarze roboczym nowym kluczem. Umożliwia to odszyfrowywanie danych przy użyciu starego klucza, zanim zostanie ponownie zaszyfrowane przy użyciu nowego klucza.
Zasady usługi Azure Key Vault dla automatycznej, okresowej rotacji kluczy lub akcji w kluczach mogą spowodować utworzenie nowych wersji kluczy. Możesz ponownie zaszyfrować wszystkie dane w obszarze roboczym przy użyciu najnowszej wersji aktywnego klucza. Aby ponownie zaszyfrować, zmień klucz w Azure Portal na klucz tymczasowy, a następnie wróć do klucza, którego chcesz użyć do szyfrowania. Aby na przykład zaktualizować szyfrowanie danych przy użyciu najnowszej wersji klucza aktywnego Key1, zmień klucz zarządzany przez klienta obszaru roboczego na klucz tymczasowy Key2. Poczekaj na zakończenie szyfrowania za pomocą klucza Key2. Następnie przełącz klucz zarządzany przez klienta z powrotem na key1-data w obszarze roboczym zostanie ponownie zaszyfrowany przy użyciu najnowszej wersji klucza Key1.
Uwaga
Azure Synapse Analytics nie automatycznie ponownie szyfruje danych po utworzeniu nowych wersji kluczy. Aby zapewnić spójność w obszarze roboczym, wymusić ponowne szyfrowanie danych przy użyciu powyższego procesu.
Funkcja Transparent Data Encryption SQL z kluczami zarządzanymi przez usługę
Funkcja TDE (SQL Transparent Data Encryption) jest dostępna dla dedykowanych pul SQL w obszarach roboczych , które nie są włączone do podwójnego szyfrowania. W tym typie obszaru roboczego klucz zarządzany przez usługę służy do zapewnienia podwójnego szyfrowania danych w dedykowanych pulach SQL. Funkcja TDE z kluczem zarządzanym przez usługę może być włączona lub wyłączona dla poszczególnych dedykowanych pul SQL.
Polecenia cmdlet dla bazy danych Azure SQL i Azure Synapse
Aby skonfigurować funkcję TDE za pomocą programu PowerShell, musisz być połączony jako właściciel, współautor lub menedżer zabezpieczeń SQL.
Użyj następujących poleceń cmdlet dla obszaru roboczego Azure Synapse.
| Polecenie cmdlet | Opis |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Włącza lub wyłącza przezroczyste szyfrowanie danych dla puli SQL. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Pobiera stan przezroczystego szyfrowania danych dla puli SQL. |
| New-AzSynapseWorkspaceKey | Dodaje klucz Key Vault do obszaru roboczego. |
| Get-AzSynapseWorkspaceKey | Pobiera klucze Key Vault dla obszaru roboczego |
| Update-AzSynapseWorkspace | Ustawia funkcję ochrony przezroczystego szyfrowania danych dla obszaru roboczego. |
| Get-AzSynapseWorkspace | Pobiera funkcję ochrony przezroczystego szyfrowania danych |
| Remove-AzSynapseWorkspaceKey | Usuwa klucz Key Vault z obszaru roboczego. |