Azure Synapse Analytics çalışma alanları için şifreleme
Bu makalede şunlar açıklanacaktır:
- Synapse Analytics çalışma alanlarında bekleyen verilerin şifrelenmesi.
- Müşteri tarafından yönetilen anahtarla şifrelemeyi etkinleştirmek için Synapse çalışma alanlarının yapılandırması.
- Çalışma alanlarındaki verileri şifrelemek için kullanılan anahtarları yönetme.
Bekleyen verilerin şifrelenmesi
Tam bir Bekleyen Şifreleme çözümü, verilerin hiçbir zaman şifrelenmemiş biçimde kalıcı olmamasını sağlar. Bekleyen verilerin çift şifrelenmesi, tek bir katmanın tehlikeye atılmasına karşı koruma sağlamak için iki ayrı şifreleme katmanıyla tehditleri azaltır. Azure Synapse Analytics, müşteri tarafından yönetilen bir anahtarla çalışma alanınızdaki veriler için ikinci bir şifreleme katmanı sunar. Bu anahtar Azure Key Vault korunarak anahtar yönetimi ve döndürme sahipliğini almanıza olanak tanır.
Azure hizmetleri için ilk şifreleme katmanı, platform tarafından yönetilen anahtarlarla etkinleştirilir. Varsayılan olarak, Azure Diskleri ve Azure Depolama hesaplarındaki veriler bekleme sırasında otomatik olarak şifrelenir. Şifrelemenin Microsoft Azure'da nasıl kullanıldığı hakkında daha fazla bilgi için Bkz. Azure Şifrelemesine Genel Bakış.
Not
Tablo adları, nesne adları ve dizin adları gibi müşteri içeriği olarak kabul edilen bazı öğeler Microsoft tarafından destek ve sorun giderme amacıyla günlük dosyalarına iletilebilir.
şifrelemeyi Azure Synapse
Bu bölüm, Synapse çalışma alanlarında müşteri tarafından yönetilen anahtar şifrelemenin nasıl etkinleştirildiğini ve uygulandığını daha iyi anlamanıza yardımcı olur. Bu şifreleme azure Key Vault oluşturulan mevcut anahtarları veya yeni anahtarları kullanır. Çalışma alanında tüm verileri şifrelemek için tek bir anahtar kullanılır. Synapse çalışma alanları RSA 2048 ve 3072 bayt boyutlu anahtarları ve RSA-HSM anahtarlarını destekler.
Not
Synapse çalışma alanları şifreleme için EC, EC-HSM ve oct-HSM anahtarlarının kullanımını desteklemez.
Aşağıdaki Synapse bileşenlerindeki veriler, çalışma alanı düzeyinde yapılandırılmış müşteri tarafından yönetilen anahtarla şifrelenir:
- SQL havuzları
- Ayrılmış SQL havuzları
- Sunucusuz SQL havuzları
- havuzları Veri Gezgini
- Apache Spark havuzları
- Tümleştirme çalışma zamanlarını, işlem hatlarını, veri kümelerini Azure Data Factory.
Çalışma alanı şifreleme yapılandırması
Çalışma alanları, çalışma alanı oluşturulurken müşteri tarafından yönetilen bir anahtarla çift şifrelemeyi etkinleştirecek şekilde yapılandırılabilir. Yeni çalışma alanınızı oluştururken "Güvenlik" sekmesinde müşteri tarafından yönetilen bir anahtar kullanarak çift şifrelemeyi etkinleştirin. Anahtar tanımlayıcısı URI'sini girmeyi veya çalışma alanıyla aynı bölgedeki anahtar kasaları listesinden seçim yapmayı seçebilirsiniz. Key Vault temizleme korumasının etkinleştirilmesi gerekir.
Önemli
Çalışma alanı oluşturulduktan sonra çift şifreleme için yapılandırma ayarı değiştirilemez.
Anahtar erişimi ve çalışma alanı etkinleştirme
Müşteri tarafından yönetilen anahtarlarla Azure Synapse şifreleme modeli, çalışma alanının gerektiğinde şifrelemek ve şifrelerini çözmek için Azure Key Vault anahtarlara erişmesini içerir. Anahtarlar, bir erişim ilkesi veya Azure Key Vault RBAC aracılığıyla çalışma alanı için erişilebilir hale getirilir. Azure Key Vault erişim ilkesi aracılığıyla izinler verirken, ilke oluşturma sırasında "Yalnızca uygulama" seçeneğini belirtin (çalışma alanları yönetilen kimliğini seçin ve yetkili uygulama olarak eklemeyin).
Çalışma alanının etkinleştirilmesi için önce çalışma alanı yönetilen kimliğine anahtar kasasında gereken izinlerin verilmesi gerekir. Çalışma alanı etkinleştirmeye yönelik bu aşamalı yaklaşım, çalışma alanındaki verilerin müşteri tarafından yönetilen anahtarla şifrelenmesini sağlar. Ayrı ayrı ayrılmış SQL Havuzları için şifreleme etkinleştirilebilir veya devre dışı bırakılabilir. Her ayrılmış havuz varsayılan olarak şifreleme için etkinleştirilmez.
Kullanıcı Tarafından Atanan Yönetilen kimliği kullanma
Çalışma alanları, Azure Key Vault depolanan müşteri tarafından yönetilen anahtarınıza erişmek için Kullanıcı Tarafından Atanan Yönetilen kimliği kullanacak şekilde yapılandırılabilir. Müşteri tarafından yönetilen anahtarlarla çift şifreleme kullanırken Azure Synapse çalışma alanınızın aşamalı olarak etkinleştirilmesini önlemek için Kullanıcı Tarafından Atanan Yönetilen kimliği yapılandırın. Kullanıcı tarafından atanan yönetilen kimliği bir Azure Synapse çalışma alanına atamak için Yönetilen Kimlik Katkıda Bulunanı yerleşik rolü gereklidir.
Not
Kullanıcı Tarafından Atanan Yönetilen Kimlik, Azure Key Vault bir güvenlik duvarının arkasında olduğunda müşteri tarafından yönetilen anahtara erişecek şekilde yapılandırılamaz.
İzinler
Bekleyen verileri şifrelemek veya şifresini çözmek için yönetilen kimliğin aşağıdaki izinlere sahip olması gerekir. Benzer şekilde, yeni anahtar oluşturmak için bir Resource Manager şablonu kullanıyorsanız, şablonun 'keyOps' parametresi aşağıdaki izinlere sahip olmalıdır:
- WrapKey (yeni anahtar oluştururken Key Vault bir anahtar eklemek için).
- UnwrapKey (şifre çözme anahtarını almak için).
- Alma (anahtarın ortak bölümünü okumak için)
Çalışma alanı etkinleştirme
Çalışma alanı oluşturma sırasında müşteri tarafından yönetilen anahtarlara erişmek için kullanıcı tarafından atanan yönetilen kimliği yapılandırmazsanız, etkinleştirme başarılı olana kadar çalışma alanınız "Beklemede" durumda kalır. Tüm işlevleri tam olarak kullanabilmeniz için önce çalışma alanının etkinleştirilmesi gerekir. Örneğin, yalnızca etkinleştirme başarılı olduğunda yeni bir ayrılmış SQL havuzu oluşturabilirsiniz. Çalışma alanı yönetilen kimliğine anahtar kasasına erişim verin ve çalışma alanı Azure portal başlığındaki etkinleştirme bağlantısını seçin. Etkinleştirme başarıyla tamamlandıktan sonra, çalışma alanınız içindeki tüm verilerin müşteri tarafından yönetilen anahtarınız ile korunduğundan emin olarak kullanıma hazırdır. Daha önce belirtildiği gibi, etkinleştirmenin başarılı olması için anahtar kasasında temizleme korumasının etkinleştirilmiş olması gerekir.
Çalışma alanı müşteri tarafından yönetilen anahtarını yönetme
Verileri şifrelemek için kullanılan müşteri tarafından yönetilen anahtarı Azure portal Şifreleme sayfasından değiştirebilirsiniz. Burada da bir anahtar tanımlayıcısı kullanarak yeni bir anahtar seçebilir veya çalışma alanıyla aynı bölgede erişiminiz olan Key Vault'lardan seçim yapabilirsiniz. Daha önce kullanılanlardan farklı bir anahtar kasasında anahtar seçerseniz, çalışma alanı tarafından yönetilen kimliğe yeni anahtar kasası üzerinde "Get", "Wrap" ve "Unwrap" izinleri verin. Çalışma alanı yeni anahtar kasasına erişimini doğrular ve çalışma alanı içindeki tüm veriler yeni anahtarla yeniden şifrelenir.
Önemli
Çalışma alanının şifreleme anahtarını değiştirirken, çalışma alanında yeni bir anahtarla değiştirene kadar anahtarı koruyun. Bu, yeni anahtarla yeniden şifrelenmeden önce eski anahtarla verilerin şifresinin çözülmesine izin vermektir.
Anahtarların otomatik, düzenli olarak döndürülebileceği veya anahtarlardaki eylemler için Azure Key Vaults ilkeleri yeni anahtar sürümlerinin oluşturulmasına neden olabilir. Çalışma alanı içindeki tüm verileri etkin anahtarın en son sürümüyle yeniden şifrelemeyi seçebilirsiniz. Yeniden şifrelemek için, Azure portal anahtarı geçici bir anahtarla değiştirin ve şifreleme için kullanmak istediğiniz anahtara geri dönün. Örneğin, etkin anahtar1'in en son sürümünü kullanarak veri şifrelemesini güncelleştirmek için çalışma alanı müşteri tarafından yönetilen anahtarını geçici anahtar olan Key2 olarak değiştirin. Key2 ile şifrelemenin tamamlanmasını bekleyin. Ardından müşteri tarafından yönetilen çalışma alanı anahtarını Key1'e geri geçirin. Çalışma alanında veriler, Key1'in en son sürümüyle yeniden şifrelenir.
Not
Azure Synapse Analytics, yeni anahtar sürümleri oluşturulduğunda verileri otomatik olarak yeniden şifrelemez. Çalışma alanınızda tutarlılık sağlamak için yukarıda ayrıntılarıyla açıklanan işlemi kullanarak verilerin yeniden şifrelenmesini zorlayabilirsiniz.
Hizmet tarafından yönetilen anahtarlarla SQL Saydam Veri Şifrelemesi
SQL Saydam Veri Şifrelemesi (TDE), çift şifreleme için etkinleştirilmemiş çalışma alanlarındaki ayrılmış SQL Havuzları için kullanılabilir. Bu çalışma alanında, ayrılmış SQL havuzlarındaki veriler için çift şifreleme sağlamak için hizmet tarafından yönetilen bir anahtar kullanılır. Hizmet tarafından yönetilen anahtarla TDE, ayrı ayrı ayrılmış SQL havuzları için etkinleştirilebilir veya devre dışı bırakılabilir.
Azure SQL Veritabanı ve Azure Synapse cmdlet'leri
PowerShell aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlanmanız gerekir.
Azure Synapse çalışma alanı için aşağıdaki cmdlet'leri kullanın.
Cmdlet | Açıklama |
---|---|
Set-AzSynapseSqlPoolTransparentDataEncryption | SQL havuzu için saydam veri şifrelemesini etkinleştirir veya devre dışı bırakır. |
Get-AzSynapseSqlPoolTransparentDataEncryption | SQL havuzu için saydam veri şifreleme durumunu alır. |
New-AzSynapseWorkspaceKey | Çalışma alanına Key Vault anahtarı ekler. |
Get-AzSynapseWorkspaceKey | Çalışma alanının Key Vault anahtarlarını alır |
Update-AzSynapseWorkspace | Çalışma alanı için saydam veri şifreleme koruyucusu ayarlar. |
Get-AzSynapseWorkspace | Saydam veri şifreleme koruyucusu alır |
Remove-AzSynapseWorkspaceKey | Çalışma alanından Key Vault anahtarını kaldırır. |