Azure Synapse Analytics çalışma alanları için şifreleme

  • Makale

Bu makalede şunlar açıklanacaktır:

  • Synapse Analytics çalışma alanlarında bekleyen verilerin şifrelenmesi.
  • Müşteri tarafından yönetilen anahtarla şifrelemeyi etkinleştirmek için Synapse çalışma alanlarının yapılandırması.
  • Çalışma alanlarındaki verileri şifrelemek için kullanılan anahtarları yönetme.

Bekleyen verilerin şifrelenmesi

Tam bir Bekleyen Şifreleme çözümü, verilerin hiçbir zaman şifrelenmemiş biçimde kalıcı olmamasını sağlar. Bekleyen verilerin çift şifrelenmesi, tek bir katmanın tehlikeye atılmasına karşı koruma sağlamak için iki ayrı şifreleme katmanıyla tehditleri azaltır. Azure Synapse Analytics, müşteri tarafından yönetilen bir anahtarla çalışma alanınızdaki veriler için ikinci bir şifreleme katmanı sunar. Bu anahtar Azure Key Vault korunarak anahtar yönetimi ve döndürme sahipliğini almanıza olanak tanır.

Azure hizmetleri için ilk şifreleme katmanı, platform tarafından yönetilen anahtarlarla etkinleştirilir. Varsayılan olarak, Azure Diskleri ve Azure Depolama hesaplarındaki veriler bekleme sırasında otomatik olarak şifrelenir. Şifrelemenin Microsoft Azure'da nasıl kullanıldığı hakkında daha fazla bilgi için Bkz. Azure Şifrelemesine Genel Bakış.

Not

Tablo adları, nesne adları ve dizin adları gibi müşteri içeriği olarak kabul edilen bazı öğeler Microsoft tarafından destek ve sorun giderme amacıyla günlük dosyalarına iletilebilir.

şifrelemeyi Azure Synapse

Bu bölüm, Synapse çalışma alanlarında müşteri tarafından yönetilen anahtar şifrelemenin nasıl etkinleştirildiğini ve uygulandığını daha iyi anlamanıza yardımcı olur. Bu şifreleme azure Key Vault oluşturulan mevcut anahtarları veya yeni anahtarları kullanır. Çalışma alanında tüm verileri şifrelemek için tek bir anahtar kullanılır. Synapse çalışma alanları RSA 2048 ve 3072 bayt boyutlu anahtarları ve RSA-HSM anahtarlarını destekler.

Not

Synapse çalışma alanları şifreleme için EC, EC-HSM ve oct-HSM anahtarlarının kullanımını desteklemez.

Aşağıdaki Synapse bileşenlerindeki veriler, çalışma alanı düzeyinde yapılandırılmış müşteri tarafından yönetilen anahtarla şifrelenir:

  • SQL havuzları
  • Ayrılmış SQL havuzları
  • Sunucusuz SQL havuzları
  • havuzları Veri Gezgini
  • Apache Spark havuzları
  • Tümleştirme çalışma zamanlarını, işlem hatlarını, veri kümelerini Azure Data Factory.

Çalışma alanı şifreleme yapılandırması

Çalışma alanları, çalışma alanı oluşturulurken müşteri tarafından yönetilen bir anahtarla çift şifrelemeyi etkinleştirecek şekilde yapılandırılabilir. Yeni çalışma alanınızı oluştururken "Güvenlik" sekmesinde müşteri tarafından yönetilen bir anahtar kullanarak çift şifrelemeyi etkinleştirin. Anahtar tanımlayıcısı URI'sini girmeyi veya çalışma alanıyla aynı bölgedeki anahtar kasaları listesinden seçim yapmayı seçebilirsiniz. Key Vault temizleme korumasının etkinleştirilmesi gerekir.

Önemli

Çalışma alanı oluşturulduktan sonra çift şifreleme için yapılandırma ayarı değiştirilemez.

Bu diyagramda, bir çalışma alanını müşteri tarafından yönetilen bir anahtarla çift şifreleme için etkinleştirmek için seçilmesi gereken seçenek gösterilir.

Anahtar erişimi ve çalışma alanı etkinleştirme

Müşteri tarafından yönetilen anahtarlarla Azure Synapse şifreleme modeli, çalışma alanının gerektiğinde şifrelemek ve şifrelerini çözmek için Azure Key Vault anahtarlara erişmesini içerir. Anahtarlar, bir erişim ilkesi veya Azure Key Vault RBAC aracılığıyla çalışma alanı için erişilebilir hale getirilir. Azure Key Vault erişim ilkesi aracılığıyla izinler verirken, ilke oluşturma sırasında "Yalnızca uygulama" seçeneğini belirtin (çalışma alanları yönetilen kimliğini seçin ve yetkili uygulama olarak eklemeyin).

Çalışma alanının etkinleştirilmesi için önce çalışma alanı yönetilen kimliğine anahtar kasasında gereken izinlerin verilmesi gerekir. Çalışma alanı etkinleştirmeye yönelik bu aşamalı yaklaşım, çalışma alanındaki verilerin müşteri tarafından yönetilen anahtarla şifrelenmesini sağlar. Ayrı ayrı ayrılmış SQL Havuzları için şifreleme etkinleştirilebilir veya devre dışı bırakılabilir. Her ayrılmış havuz varsayılan olarak şifreleme için etkinleştirilmez.

Kullanıcı Tarafından Atanan Yönetilen kimliği kullanma

Çalışma alanları, Azure Key Vault depolanan müşteri tarafından yönetilen anahtarınıza erişmek için Kullanıcı Tarafından Atanan Yönetilen kimliği kullanacak şekilde yapılandırılabilir. Müşteri tarafından yönetilen anahtarlarla çift şifreleme kullanırken Azure Synapse çalışma alanınızın aşamalı olarak etkinleştirilmesini önlemek için Kullanıcı Tarafından Atanan Yönetilen kimliği yapılandırın. Kullanıcı tarafından atanan yönetilen kimliği bir Azure Synapse çalışma alanına atamak için Yönetilen Kimlik Katkıda Bulunanı yerleşik rolü gereklidir.

Not

Kullanıcı Tarafından Atanan Yönetilen Kimlik, Azure Key Vault bir güvenlik duvarının arkasında olduğunda müşteri tarafından yönetilen anahtara erişecek şekilde yapılandırılamaz.

Bu diyagramda, bir çalışma alanının müşteri tarafından yönetilen anahtarla çift şifreleme için kullanıcı tarafından atanan yönetilen kimliği kullanmasını sağlamak için seçilmesi gereken seçenek gösterilir.

İzinler

Bekleyen verileri şifrelemek veya şifresini çözmek için yönetilen kimliğin aşağıdaki izinlere sahip olması gerekir. Benzer şekilde, yeni anahtar oluşturmak için bir Resource Manager şablonu kullanıyorsanız, şablonun 'keyOps' parametresi aşağıdaki izinlere sahip olmalıdır:

  • WrapKey (yeni anahtar oluştururken Key Vault bir anahtar eklemek için).
  • UnwrapKey (şifre çözme anahtarını almak için).
  • Alma (anahtarın ortak bölümünü okumak için)

Çalışma alanı etkinleştirme

Çalışma alanı oluşturma sırasında müşteri tarafından yönetilen anahtarlara erişmek için kullanıcı tarafından atanan yönetilen kimliği yapılandırmazsanız, etkinleştirme başarılı olana kadar çalışma alanınız "Beklemede" durumda kalır. Tüm işlevleri tam olarak kullanabilmeniz için önce çalışma alanının etkinleştirilmesi gerekir. Örneğin, yalnızca etkinleştirme başarılı olduğunda yeni bir ayrılmış SQL havuzu oluşturabilirsiniz. Çalışma alanı yönetilen kimliğine anahtar kasasına erişim verin ve çalışma alanı Azure portal başlığındaki etkinleştirme bağlantısını seçin. Etkinleştirme başarıyla tamamlandıktan sonra, çalışma alanınız içindeki tüm verilerin müşteri tarafından yönetilen anahtarınız ile korunduğundan emin olarak kullanıma hazırdır. Daha önce belirtildiği gibi, etkinleştirmenin başarılı olması için anahtar kasasında temizleme korumasının etkinleştirilmiş olması gerekir.

Bu diyagramda çalışma alanının etkinleştirme bağlantısını içeren başlık gösterilir.

Çalışma alanı müşteri tarafından yönetilen anahtarını yönetme

Verileri şifrelemek için kullanılan müşteri tarafından yönetilen anahtarı Azure portal Şifreleme sayfasından değiştirebilirsiniz. Burada da bir anahtar tanımlayıcısı kullanarak yeni bir anahtar seçebilir veya çalışma alanıyla aynı bölgede erişiminiz olan Key Vault'lardan seçim yapabilirsiniz. Daha önce kullanılanlardan farklı bir anahtar kasasında anahtar seçerseniz, çalışma alanı tarafından yönetilen kimliğe yeni anahtar kasası üzerinde "Get", "Wrap" ve "Unwrap" izinleri verin. Çalışma alanı yeni anahtar kasasına erişimini doğrular ve çalışma alanı içindeki tüm veriler yeni anahtarla yeniden şifrelenir.

Bu diyagramda Azure portal çalışma alanı Şifrelemesi bölümü gösterilir.

Önemli

Çalışma alanının şifreleme anahtarını değiştirirken, çalışma alanında yeni bir anahtarla değiştirene kadar anahtarı koruyun. Bu, yeni anahtarla yeniden şifrelenmeden önce eski anahtarla verilerin şifresinin çözülmesine izin vermektir.

Anahtarların otomatik, düzenli olarak döndürülebileceği veya anahtarlardaki eylemler için Azure Key Vaults ilkeleri yeni anahtar sürümlerinin oluşturulmasına neden olabilir. Çalışma alanı içindeki tüm verileri etkin anahtarın en son sürümüyle yeniden şifrelemeyi seçebilirsiniz. Yeniden şifrelemek için, Azure portal anahtarı geçici bir anahtarla değiştirin ve şifreleme için kullanmak istediğiniz anahtara geri dönün. Örneğin, etkin anahtar1'in en son sürümünü kullanarak veri şifrelemesini güncelleştirmek için çalışma alanı müşteri tarafından yönetilen anahtarını geçici anahtar olan Key2 olarak değiştirin. Key2 ile şifrelemenin tamamlanmasını bekleyin. Ardından müşteri tarafından yönetilen çalışma alanı anahtarını Key1'e geri geçirin. Çalışma alanında veriler, Key1'in en son sürümüyle yeniden şifrelenir.

Not

Azure Synapse Analytics, yeni anahtar sürümleri oluşturulduğunda verileri otomatik olarak yeniden şifrelemez. Çalışma alanınızda tutarlılık sağlamak için yukarıda ayrıntılarıyla açıklanan işlemi kullanarak verilerin yeniden şifrelenmesini zorlayabilirsiniz.

Hizmet tarafından yönetilen anahtarlarla SQL Saydam Veri Şifrelemesi

SQL Saydam Veri Şifrelemesi (TDE), çift şifreleme için etkinleştirilmemiş çalışma alanlarındaki ayrılmış SQL Havuzları için kullanılabilir. Bu çalışma alanında, ayrılmış SQL havuzlarındaki veriler için çift şifreleme sağlamak için hizmet tarafından yönetilen bir anahtar kullanılır. Hizmet tarafından yönetilen anahtarla TDE, ayrı ayrı ayrılmış SQL havuzları için etkinleştirilebilir veya devre dışı bırakılabilir.

Azure SQL Veritabanı ve Azure Synapse cmdlet'leri

PowerShell aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlanmanız gerekir.

Azure Synapse çalışma alanı için aşağıdaki cmdlet'leri kullanın.

Cmdlet Açıklama
Set-AzSynapseSqlPoolTransparentDataEncryption SQL havuzu için saydam veri şifrelemesini etkinleştirir veya devre dışı bırakır.
Get-AzSynapseSqlPoolTransparentDataEncryption SQL havuzu için saydam veri şifreleme durumunu alır.
New-AzSynapseWorkspaceKey Çalışma alanına Key Vault anahtarı ekler.
Get-AzSynapseWorkspaceKey Çalışma alanının Key Vault anahtarlarını alır
Update-AzSynapseWorkspace Çalışma alanı için saydam veri şifreleme koruyucusu ayarlar.
Get-AzSynapseWorkspace Saydam veri şifreleme koruyucusu alır
Remove-AzSynapseWorkspaceKey Çalışma alanından Key Vault anahtarını kaldırır.

Sonraki adımlar