Encriptação das áreas de trabalho do Azure Synapse Analytics
Este artigo irá descrever:
- Encriptação de dados inativos nas áreas de trabalho do Synapse Analytics.
- Configuração de áreas de trabalho do Synapse para ativar a encriptação com uma chave gerida pelo cliente.
- Gerir chaves utilizadas para encriptar dados em áreas de trabalho.
Encriptação de dados inativos
Uma solução de Encriptação inativa completa garante que os dados nunca são mantidos de forma não encriptada. A encriptação dupla de dados inativos mitiga ameaças com duas camadas separadas de encriptação para proteger contra compromissos de qualquer camada individual. Azure Synapse Analytics oferece uma segunda camada de encriptação para os dados na área de trabalho com uma chave gerida pelo cliente. Esta chave é salvaguardada no seu Key Vault do Azure, o que lhe permite assumir a propriedade da gestão e rotação de chaves.
A primeira camada de encriptação para serviços do Azure está ativada com chaves geridas pela plataforma. Por predefinição, os Discos do Azure e os dados nas contas de Armazenamento do Azure são encriptados automaticamente inativos. Saiba mais sobre como a encriptação é utilizada no Microsoft Azure na Descrição Geral da Encriptação do Azure.
Nota
Alguns itens considerados conteúdo do cliente, como nomes de tabelas, nomes de objetos e nomes de índice, podem ser transmitidos em ficheiros de registo para suporte e resolução de problemas pela Microsoft.
encriptação de Azure Synapse
Esta secção irá ajudá-lo a compreender melhor como a encriptação de chaves gerida pelo cliente é ativada e imposta nas áreas de trabalho do Synapse. Esta encriptação utiliza chaves existentes ou novas chaves geradas no Azure Key Vault. Uma única chave é utilizada para encriptar todos os dados numa área de trabalho. As áreas de trabalho do Synapse suportam chaves RSA 2048 e 3072 de tamanho de bytes e chaves RSA-HSM.
Nota
As áreas de trabalho do Synapse não suportam a utilização de chaves EC, EC-HSM e oct-HSM para encriptação.
Os dados nos seguintes componentes do Synapse são encriptados com a chave gerida pelo cliente configurada ao nível da área de trabalho:
- Conjuntos de SQL
- Conjuntos de SQL dedicados
- Conjuntos de SQL sem servidor
- conjuntos de Data Explorer
- Conjuntos do Apache Spark
- Azure Data Factory runtimes de integração, pipelines, conjuntos de dados.
Configuração da encriptação da área de trabalho
As áreas de trabalho podem ser configuradas para ativar a encriptação dupla com uma chave gerida pelo cliente no momento da criação da área de trabalho. Ative a encriptação dupla com uma chave gerida pelo cliente no separador "Segurança" ao criar a sua nova área de trabalho. Pode optar por introduzir um URI de identificador de chave ou selecionar a partir de uma lista de cofres de chaves na mesma região que a área de trabalho. A própria Key Vault precisa de ter a proteção contra remoção ativada.
Importante
A definição de configuração para encriptação dupla não pode ser alterada após a criação da área de trabalho.
Acesso à chave e ativação da área de trabalho
O modelo de encriptação Azure Synapse com chaves geridas pelo cliente envolve a área de trabalho que acede às chaves no Azure Key Vault encriptar e desencriptar conforme necessário. As chaves são tornadas acessíveis à área de trabalho através de uma política de acesso ou do RBAC do Azure Key Vault. Ao conceder permissões através de uma política de acesso Key Vault do Azure, escolha a opção "Apenas aplicações" durante a criação de políticas (selecione a identidade gerida das áreas de trabalho e não a adicione como uma aplicação autorizada).
A identidade gerida da área de trabalho tem de ter as permissões necessárias no cofre de chaves para que a área de trabalho possa ser ativada. Esta abordagem faseada à ativação da área de trabalho garante que os dados na área de trabalho são encriptados com a chave gerida pelo cliente. A encriptação pode ser ativada ou desativada para Conjuntos de SQL dedicados individuais. Por predefinição, cada conjunto dedicado não está ativado para encriptação.
Utilizar uma identidade gerida atribuída pelo utilizador
As áreas de trabalho podem ser configuradas para utilizar uma identidade gerida atribuída pelo utilizador para aceder à chave gerida pelo cliente armazenada no Azure Key Vault. Configure uma identidade gerida atribuída pelo utilizador para evitar a ativação faseada da área de trabalho Azure Synapse ao utilizar a encriptação dupla com chaves geridas pelo cliente. A função incorporada Contribuidor de Identidade Gerida é necessária para atribuir uma identidade gerida atribuída pelo utilizador a uma área de trabalho Azure Synapse.
Nota
Não é possível configurar uma Identidade Gerida atribuída pelo utilizador para aceder à chave gerida pelo cliente quando o Azure Key Vault está protegido por uma firewall.
Permissões
Para encriptar ou desencriptar dados inativos, a identidade gerida tem de ter as seguintes permissões. Da mesma forma, se estiver a utilizar um modelo de Resource Manager para criar uma nova chave, o parâmetro "keyOps" do modelo tem de ter as seguintes permissões:
- WrapKey (para inserir uma chave no Key Vault ao criar uma nova chave).
- UnwrapKey (para obter a chave para desencriptação).
- Obter (para ler a parte pública de uma chave)
Ativação da área de trabalho
Se não configurar uma identidade gerida atribuída pelo utilizador para aceder às chaves geridas pelo cliente durante a criação da área de trabalho, a área de trabalho permanecerá num estado "Pendente" até que a ativação seja bem-sucedida. A área de trabalho tem de ser ativada antes de poder utilizar totalmente todas as funcionalidades. Por exemplo, só pode criar um novo conjunto de SQL dedicado assim que a ativação for bem-sucedida. Conceda à área de trabalho acesso de identidade gerida ao cofre de chaves e selecione a ligação de ativação na área de trabalho portal do Azure faixa. Assim que a ativação for concluída com êxito, a área de trabalho estará pronta para ser utilizada com a garantia de que todos os dados na mesma estão protegidos com a chave gerida pelo cliente. Como indicado anteriormente, o cofre de chaves tem de ter a proteção de remoção ativada para que a ativação seja bem-sucedida.
Gerir a chave gerida pelo cliente da área de trabalho
Pode alterar a chave gerida pelo cliente utilizada para encriptar dados a partir da página Encriptação no portal do Azure. Também aqui, pode escolher uma nova chave com um identificador de chave ou selecionar a partir dos Cofres de Chaves aos quais tem acesso na mesma região que a área de trabalho. Se escolher uma chave num cofre de chaves diferente das utilizadas anteriormente, conceda as permissões "Get", "Wrap" e "Unwrap" da identidade gerida pela área de trabalho no novo cofre de chaves. A área de trabalho validará o acesso ao novo cofre de chaves e todos os dados na área de trabalho serão novamente encriptados com a nova chave.
Importante
Ao alterar a chave de encriptação de uma área de trabalho, mantenha a chave até a substituir na área de trabalho por uma nova chave. Isto é para permitir a desencriptação de dados com a chave antiga antes de serem encriptados novamente com a nova chave.
As políticas do Azure Key Vaults para rotação automática e periódica de chaves ou ações nas chaves podem resultar na criação de novas versões-chave. Pode optar por encriptar novamente todos os dados na área de trabalho com a versão mais recente da chave ativa. Para voltar a encriptar, altere a chave no portal do Azure para uma chave temporária e, em seguida, volte à chave que pretende utilizar para encriptação. Por exemplo, para atualizar a encriptação de dados com a versão mais recente da chave ativa Key1, altere a chave gerida pelo cliente da área de trabalho para chave temporária, Key2. Aguarde que a encriptação com Key2 seja concluída. Em seguida, mude a chave gerida pelo cliente para Key1-data na área de trabalho será encriptada novamente com a versão mais recente do Key1.
Nota
Azure Synapse Analytics não encripta automaticamente os dados quando são criadas novas versões chave. Para garantir a consistência na área de trabalho, force a nova encriptação de dados com o processo detalhado acima.
Encriptação de Dados Transparente do SQL com chaves geridas pelo serviço
A Encriptação de Dados Transparente (TDE) do SQL está disponível para Conjuntos de SQL dedicados em áreas de trabalho não ativadas para encriptação dupla. Neste tipo de área de trabalho, é utilizada uma chave gerida pelo serviço para fornecer encriptação dupla para os dados nos conjuntos de SQL dedicados. A TDE com a chave gerida pelo serviço pode ser ativada ou desativada para conjuntos de SQL dedicados individuais.
Cmdlets para SQL do Azure Database e Azure Synapse
Para configurar o TDE através do PowerShell, tem de estar ligado como Proprietário, Contribuidor ou Gestor de Segurança do SQL do Azure.
Utilize os seguintes cmdlets para Azure Synapse área de trabalho.
| Cmdlet | Descrição |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Ativa ou desativa a encriptação de dados transparente para um conjunto de SQL. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Obtém o estado de encriptação de dados transparente para um conjunto de SQL. |
| New-AzSynapseWorkspaceKey | Adiciona uma chave de Key Vault a uma área de trabalho. |
| Get-AzSynapseWorkspaceKey | Obtém as chaves de Key Vault de uma área de trabalho |
| Update-AzSynapseWorkspace | Define o protetor de encriptação de dados transparente para uma área de trabalho. |
| Get-AzSynapseWorkspace | Obtém o protetor de encriptação de dados transparente |
| Remove-AzSynapseWorkspaceKey | Remove uma chave de Key Vault de uma área de trabalho. |