Поделиться через


Технический документ по безопасности Azure Synapse Analytics: защита данных

Примечание.

Эта статья входит в серию статей Технический документ по безопасности Azure Synapse Analytics. Обзор серии см. в техническом документе по безопасности Azure Synapse Analytics.

Обнаружение и классификация данных

Организациям необходимо защищать свои данные в соответствии с федеральными, местными и корпоративными нормами, чтобы снизить риски, связанные с нарушением данных. Одна из проблем заключается в том, как защитить данные, если неизвестно, где они находятся. Другая связана с выбором оптимального уровня защиты с учетом того, что разным наборам данных необходима разная степень защиты.

Представьте себе организацию, в которой сотни или тысячи файлов хранятся в озере данных, а в базах данных находятся сотни или тысячи таблиц. В такой ситуации пригодится процесс, который автоматически сканирует каждую строку и столбец файловой системы или таблицы и классифицирует столбцы как потенциально конфиденциальные. Это называется обнаружением данных.

После завершения процесс обнаружения данных предлагает рекомендации по классификации на основе предопределенного набора шаблонов, ключевых слов и правил. После этого ответственное лицо может проанализировать эти рекомендации и применить метки классификации конфиденциальности к соответствующим столбцам. Этот процесс называется классификацией.

Azure Synapse предлагает два варианта обнаружения и классификации данных:

  • Обнаружение и классификация данных, встроенная в Azure Synapse и выделенный пул SQL (ранее — хранилище данных SQL).
  • Microsoft Purview — единое решение для управления данными для локальных систем, многооблачных служб и модели программного обеспечения как услуги (SaaS). Оно позволяет автоматизировать обнаружение данных, идентификацию их происхождения и классификацию данных. Создавая единую схемы ресурсов данных и их связей, решение упрощает их обнаружение.

Примечание.

Функции обнаружения и классификации данных Microsoft Purview предлагаются в общедоступной предварительной версии для Azure Synapse, выделенного пула SQL (ранее SQL DW) и бессерверного пула SQL. Однако в настоящее время для Azure Synapse, выделенного пула SQL (ранее SQL DW) и бессерверного пула SQL не поддерживается происхождение данных. Происхождение данных поддерживает только пул Apache Spark.

Шифрование данных

Данные шифруются при хранении и передаче.

Неактивные данные

По умолчанию служба хранилища Azure автоматически шифрует все данные с применением 256-разрядного алгоритма шифрования AES (AES 256). Это один из самых надежных блочных шифров среди всех имеющихся, и он совместим с FIPS 140-2. Платформа управляет ключом шифрования и формирует первый уровень шифрования данных. Это шифрование применяется как к пользовательским, так и к системным базам данных, включая базу данных master.

Включение прозрачного шифрование данных (TDE) позволяет добавить второй уровень шифрования для выделенных пулов SQL. Служба в режиме реального времени выполняет шифрование и расшифровку файлов базы данных, файлов журналов транзакций и хранящихся резервных копий без внесения в приложение каких-либо изменений. По умолчанию используется алгоритм AES 256.

По умолчанию TDE защищает ключ шифрования базы данных (DEK) со встроенным сертификатом сервера (управляемым службой). Вы можете использовать собственный ключ (BYOK), который можно безопасно хранить в Azure Key Vault.

Безсерверный пул Azure Synapse SQL и пул Apache Spark представляют собой подсистемы аналитики, которые работают непосредственно с Azure Data Lake (ALDS) 2-го поколения или Хранилищем BLOB-объектов Azure. Эти аналитические среды выполнения не имеют постоянного хранилища и используют для защиты данных технологии шифрования службы хранилища Azure. По умолчанию служба хранилища Azure шифрует все данные с применением шифрования на стороне сервера (SSE). Она включена для всех типов хранения (включая ADLS 2-го поколения) и не может быть отключена. SSE шифрует и расшифровывает данные прозрачным образом с помощью алгоритма AES 256.

Существует два варианта шифрования SSE:

  • Ключи, управляемые корпорацией Майкрософт: корпорация Майкрософт управляет всеми аспектами ключа шифрования, включая хранение ключей, владение ими и их смену. Он полностью прозрачен для клиентов.
  • Ключи, управляемые клиентом: в этом случае симметричный ключ, используемый для шифрования данных в службе хранилища Azure, шифруется с помощью предоставляемого клиентом ключа. Поддерживаются ключи RSA и RSA-HSM (аппаратные модули шифрования) размером 2048, 3072 и 4096. Ключи можно безопасно хранить в хранилище ключей Azure Key Vault или в HSM под управлением Azure Key Vault. При этом обеспечивается точное управление доступом к разделу и его управление, включая хранение, резервное копирование и смену ключей. Дополнительные сведения см. в статье Ключи, управляемые клиентом, для шифрования службы хранилища Azure.

Хотя SSE образует первый уровень шифрования, пользователи, которые заботятся о безопасности, могут применить двойное шифрование, включив второй уровень 256-разрядного шифрования AES на уровне инфраструктуры службы хранилища Azure. Эта функция, называемая шифрованием инфраструктуры, использует управляемый платформой ключ вместе с отдельным ключом из SSE. В результате данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один — на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей.

Передаваемые данные

Azure Synapse, выделенный пул SQL (ранее SQL DW) и бессерверный пул SQL используют протокол потока табличных данных (TDS) для обмена данными между конечной точкой пула SQL и клиентским компьютером. TDS использует протокол TLS для шифрования канала, обеспечивая безопасность и шифрование всех пакетов данных между конечной точкой и клиентским компьютером. Он применяет подписанный сертификат сервера из центра сертификации (ЦС), который используется для шифрования TLS, управляемого корпорацией Майкрософт. Azure Synapse поддерживает шифрование данных при передаче с помощью TLS версии 1.2 с применением алгоритма шифрования AES-256.

Azure Synapse использует протокол TLS для шифрования данных при перемещении. Выделенные пулы SQL поддерживают для шифрования версии TLS 1.0, TLS 1.1 и TLS 1.2, в то время как драйверы корпорации Майкрософт по умолчанию используют протокол TLS 1.2. Бессерверный пул SQL и пул Apache Spark используют TLS 1.2 для всех исходящих подключений.

Следующие шаги

В следующей статье этой серии статей технического документа вы узнаете об управлении доступом.