Aracılığıyla paylaş

Azure Synapse Analytics güvenlik incelemesi: Veri koruma

  • Makale

Not

Bu makale, Azure Synapse Analytics güvenlik teknik inceleme makalesi serisinin bir bölümünü oluşturur. Seriye genel bakış için bkz . Azure Synapse Analytics güvenlik teknik incelemesi.

Veri bulma ve sınıflandırma

Kuruluşların, veri ihlali risklerini azaltmak için federal, yerel ve şirket yönergelerine uymak için verilerini korumaları gerekir. Kuruluşların karşılaştığı zorluklardan biri: Nerede olduğunu bilmiyorsanız verileri nasıl korursunuz? Bir diğeri: Hangi koruma düzeyi gereklidir?— çünkü bazı veri kümeleri diğerlerinden daha fazla koruma gerektirir.

Veri gölünde depolanan yüzlerce veya binlerce dosyaya ve veritabanlarında yüzlerce veya binlerce tabloya sahip bir kuruluş düşünün. Dosya sistemi veya tablonun her satırını ve sütununu otomatik olarak tarar ve sütunları hassas olabilecek veriler olarak sınıflandırır. Bu işlem veri bulma olarak bilinir.

Veri bulma işlemi tamamlandıktan sonra, önceden tanımlanmış bir desen, anahtar sözcük ve kural kümesine dayalı sınıflandırma önerileri sağlar. Daha sonra birisi önerileri gözden geçirebilir ve uygun sütunlara duyarlılık sınıflandırma etiketleri uygulayabilir. Bu işlem sınıflandırma olarak bilinir.

Azure Synapse, veri bulma ve sınıflandırma için iki seçenek sunar:

Not

Microsoft Purview veri bulma ve sınıflandırması Azure Synapse, ayrılmış SQL havuzu (eski adı SQL DW) ve sunucusuz SQL havuzu için genel önizleme aşamasındadır. Ancak veri kökeni şu anda Azure Synapse, ayrılmış SQL havuzu (eski adı SQL DW) ve sunucusuz SQL havuzu için desteklenmemektedir. Apache Spark havuzu yalnızca köken izlemeyi destekler.

Veri şifrelemesi

Veriler beklemede ve aktarım sırasında şifrelenir.

Bekleme durumundaki veriler

Varsayılan olarak, Azure Depolama 256 bit Gelişmiş Şifreleme Standart şifrelemesi (AES 256) kullanarak tüm verileri otomatik olarak şifreler. Kullanılabilir en güçlü blok şifrelemelerinden biridir ve FIPS 140-2 ile uyumludur. Platform şifreleme anahtarını yönetir ve ilk veri şifreleme katmanını oluşturur. Bu şifreleme, ana veritabanı da dahil olmak üzere hem kullanıcı hem de sistem veritabanları için geçerlidir.

Saydam Veri Şifrelemesi (TDE) etkinleştirildiğinde ayrılmış SQL havuzları için ikinci bir veri şifreleme katmanı eklenebilir. Uygulamada herhangi bir değişiklik yapmadan veritabanı dosyalarının, işlem günlüklerinin ve bekleyen yedeklemelerin gerçek zamanlı G/Ç şifrelemesini ve şifresini çözmeyi gerçekleştirir. Varsayılan olarak AES 256 kullanır.

Varsayılan olarak, TDE veritabanı şifreleme anahtarını (DEK) yerleşik bir sunucu sertifikasıyla (hizmet tarafından yönetilen) korur. Azure Key Vault'ta güvenli bir şekilde depolanabilen kendi anahtarınızı (BYOK) getirme seçeneği vardır.

Azure Synapse SQL sunucusuz havuzu ve Apache Spark havuzu, doğrudan Azure Data Lake 2. Nesil (ALDS 2. Nesil) veya Azure Blob Depolama üzerinde çalışan analiz altyapılarıdır. Bu analitik çalışma zamanlarında kalıcı depolama alanı yoktur ve veri koruması için Azure Depolama şifreleme teknolojileri kullanılır. Varsayılan olarak, Azure Depolama sunucu tarafı şifreleme (SSE) kullanarak tüm verileri şifreler. Tüm depolama türleri (ADLS 2. Nesil dahil) için etkinleştirilir ve devre dışı bırakılamaz. SSE, AES 256 kullanarak verileri saydam bir şekilde şifreler ve şifresini çözer.

İki SSE şifreleme seçeneği vardır:

  • Microsoft tarafından yönetilen anahtarlar: Microsoft, anahtar depolama, sahiplik ve döndürme dahil olmak üzere şifreleme anahtarının her yönünü yönetir. Müşteriler için tamamen şeffaftır.
  • Müşteri tarafından yönetilen anahtarlar: Bu durumda, Azure Depolama'daki verileri şifrelemek için kullanılan simetrik anahtar, müşteri tarafından sağlanan bir anahtar kullanılarak şifrelenir. 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM (Donanım Güvenlik Modülleri) anahtarlarını destekler. Anahtarlar Azure Key Vault veya Azure Key Vault Yönetilen HSM'de güvenli bir şekilde depolanabilir. Depolama, yedekleme ve döndürme dahil olmak üzere anahtarın ve yönetiminin ayrıntılı erişim denetimini sağlar. Daha fazla bilgi için bkz . Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar.

SSE ilk şifreleme katmanını oluştururken, dikkatli müşteriler Azure Depolama altyapı katmanında ikinci bir 256 bit AES şifreleme katmanı etkinleştirerek çift şifreleme yapabilir. Altyapı şifrelemesi olarak bilinen bu anahtar, SSE'den ayrı bir anahtarla birlikte platform tarafından yönetilen bir anahtar kullanır. Bu nedenle, depolama hesabındaki veriler iki kez şifrelenir; bir kez hizmet düzeyinde, bir kez de iki farklı şifreleme algoritması ve farklı anahtarlarla altyapı düzeyinde.

Aktarım durumundaki veriler

Azure Synapse, ayrılmış SQL havuzu (eski adı SQL DW) ve sunucusuz SQL havuzu, SQL havuzu uç noktası ile istemci makinesi arasında iletişim kurmak için Tablosal Veri Akışı (TDS) protokollerini kullanır. TDS, kanal şifrelemesi için Aktarım Katmanı Güvenliği'ne (TLS) bağlıdır ve uç nokta ile istemci makinesi arasında tüm veri paketlerinin güvenliğinin ve şifrelenmesini sağlar. Microsoft tarafından yönetilen TLS şifrelemesi için kullanılan Sertifika Yetkilisi'nden (CA) imzalı bir sunucu sertifikası kullanır. Azure Synapse, AES 256 şifrelemesi kullanarak TLS v1.2 ile aktarım sırasında veri şifrelemeyi destekler.

Azure Synapse, verilerin hareket halinde şifrelendiğinden emin olmak için TLS'yi kullanabilir. SQL ayrılmış havuzları, Microsoft tarafından sağlanan sürücülerin varsayılan olarak TLS 1.2 kullandığı şifreleme için TLS 1.0, TLS 1.1 ve TLS 1.2 sürümlerini destekler. Sunucusuz SQL havuzu ve Apache Spark havuzu tüm giden bağlantılar için TLS 1.2 kullanır.

Sonraki adımlar

Bu teknik inceleme serisinin sonraki makalesinde erişim denetimi hakkında bilgi edinin.