在 Azure Data Explorer中使用加密保護您的叢集

Azure Data Explorer叢集會針對待用資料加密的持續性儲存體使用 Azure 儲存體,以及計算結束時所刪除快取資料的虛擬機器儲存體。 您可以針對這兩種類型的資料使用加密來保護資料,以符合組織安全性和合規性承諾。

使用加密保護您的 Azure 儲存體資料

當您建立叢集時,其資料會儲存在 Azure 儲存體中,並在服務層級自動 加密 。 Azure 儲存體會與Azure 金鑰保存庫整合,以儲存和管理金鑰,以確保所有叢集資料都已加密。 服務等級加密支援使用 Microsoft 管理的金鑰或客戶自控金鑰搭配 Azure Key Vault。 根據預設,Microsoft 管理的金鑰會用來加密您的資料。

您可以選擇性地在基礎結構層級啟用 雙重加密 。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次,一次在服務層級,一次在基礎結構層級,使用兩個不同的加密演算法和兩個不同的金鑰。 Azure 儲存體資料的雙重加密可防止其中一個加密演算法或金鑰可能遭到入侵的案例。 在此案例中,額外的加密層會繼續保護您的資料。 基礎結構等級的加密相依於 Microsoft 管理的金鑰,而且一律使用個別的金鑰。

如果您需要更高層級的保證,您的資料是安全的,請使用下列選項來設定待用資料:

使用加密保護您的虛擬機器儲存體

當您建立叢集時,其虛擬機器快取儲存體預設不會加密。 您可以啟用磁片加密,以加密儲存在資料磁片區上的經常性快取,以及屬於您叢集之虛擬機器的作業系統磁片。 資料會使用 Microsoft 管理的金鑰進行待用加密。

使用 啟用磁片加密 中的步驟來保護儲存在叢集虛擬機器中的資料。

Azure Data Explorer會將資料儲存在區域內

每個 Azure Data Explorer叢集都會在單一區域中的專用資源上執行。 所有資料都會儲存在區域內。