Azure Synapse Analytics 安全性白皮書:數據保護

  • 發行項

注意

本文是 Azure Synapse Analytics 安全性白皮書系列文章的一部分。 如需系列的概觀,請參閱 Azure Synapse Analytics 安全性白皮書

資料探索與分類

組織必須保護其數據,以符合聯邦、當地和公司指導方針,以降低數據外泄的風險。 組織面臨的一項挑戰是: 如果您不知道數據在哪裡,該如何保護數據? 另一個是: 需要何種層級的保護?—因為某些數據集需要比其他數據集更多的保護。

想像一個組織,其數據湖中儲存了數百個或數千個檔案,以及其資料庫中的數百或數千個數據表。 它可受益於自動掃描檔系統或數據表之每個數據列和數據行的程式,並將數據行分類為 潛在的 敏感數據。 此程式稱為 數據探索

數據探索程式完成後,它會根據預先定義的模式、關鍵詞和規則集提供分類建議。 然後有人可以檢閱建議,並將敏感度分類標籤套用至適當的數據行。 此程式稱為 分類

Azure Synapse 提供兩個選項來進行數據探索和分類:

  • 數據探索與分類,內建於 Azure Synapse 和專用 SQL 集區(先前稱為 SQL DW)。
  • Microsoft Purview 是整合的數據控管解決方案,可協助管理內部部署、多重雲端和軟體即服務 (SaaS) 數據。 它可以自動化數據探索、譜系識別和數據分類。 藉由產生數據資產及其關聯性的統一對應,即可輕鬆地探索數據。

注意

Microsoft Purview 數據探索和分類目前為 Azure Synapse 公開預覽版、專用 SQL 集區(先前稱為 SQL DW),以及無伺服器 SQL 集區。 不過,Azure Synapse、專用 SQL 集區(先前稱為 SQL DW)和無伺服器 SQL 集區目前不支援數據譜系。 Apache Spark 集區僅支援 歷程追蹤

資料加密

數據會在待用和傳輸中加密。

待用資料

根據預設,Azure 儲存體 會使用256位進階加密標準加密來自動加密所有數據(AES 256)。 這是可用的最強區塊加密之一,且符合 FIPS 140-2 規範。 平臺會管理加密金鑰,並形成 數據加密的第一層 。 此加密同時適用於使用者和系統資料庫,包括 master 資料庫。

啟用 透明資料加密 (TDE) 可以新增專用 SQL 集區的第二層數據加密。 它會執行資料庫檔案、事務歷史記錄檔和待用備份的即時 I/O 加密和解密,而不需要對應用程式進行任何變更。 根據預設,它會使用 AES 256。

根據預設,TDE 會使用內建的伺服器證書(服務受控)來保護資料庫加密密鑰 (DEK)。 您可以選擇攜帶您自己的金鑰 (BYOK),以安全地儲存在 Azure 金鑰保存庫

Azure Synapse SQL 無伺服器集區和 Apache Spark 集區是直接在 Azure Data Lake Gen2 (ALDS Gen2) 或 Azure Blob 儲存體 上運作的分析引擎。 這些分析運行時間沒有任何永久記憶體,並依賴 Azure 儲存體 加密技術進行數據保護。 根據預設,Azure 儲存體 使用伺服器端加密 (SSE) 加密所有數據。 它已啟用所有記憶體類型(包括 ADLS Gen2),且無法停用。 SSE 會使用 AES 256 以透明方式加密和解密數據。

有兩個 SSE 加密選項:

  • Microsoft 管理的金鑰: Microsoft 會管理加密密鑰的每個層面,包括密鑰儲存、擁有權和輪替。 客戶完全透明。
  • 客戶管理的金鑰:在此情況下,用來加密 Azure 儲存體 數據的對稱密鑰會使用客戶提供的金鑰來加密。 它支援大小為 2048、3072 和 4096 的 RSA 和 RSA-HSM(硬體安全性模組) 金鑰。 密鑰可以安全地儲存在 Azure 金鑰保存庫 金鑰保存庫受控 HSM 中。 其提供金鑰及其管理的詳細存取控制,包括記憶體、備份和輪替。 如需詳細資訊,請參閱 Azure 儲存體 加密的客戶自控密鑰。

雖然 SSE 形成第一層加密,但謹慎的客戶可以在 Azure 儲存體 基礎結構層啟用第二層 256 位 AES 加密,以雙重加密。 稱為 基礎結構加密,它會使用平臺管理的密鑰與 SSE 的個別密鑰。 因此,記憶體帳戶中的數據會加密兩次;一次位於服務層級,一次位於基礎結構層級,具有兩種不同的加密演算法和不同的密鑰。

傳輸中資料

Azure Synapse、專用 SQL 集區(先前稱為 SQL DW),以及無伺服器 SQL 集區會使用 表格式數據流 (TDS) 通訊協定,在 SQL 集區端點與用戶端電腦之間進行通訊。 TDS 相依於通道加密的傳輸層安全性 (TLS),以確保端點和用戶端電腦之間的所有數據封包都受到保護及加密。 它會使用證書頒發機構單位 (CA) 的已簽署伺服器證書,用於由 Microsoft 管理的 TLS 加密。 Azure Synapse 支援使用 TLS v1.2 傳輸中的數據加密,並使用 AES 256 加密。

Azure Synapse 會利用 TLS 來確保數據在移動中加密。 SQL 專用集區支援 TLS 1.0、TLS 1.1 和 TLS 1.2 版本進行加密,Microsoft 提供的驅動程式預設會使用 TLS 1.2。 無伺服器 SQL 集區和 Apache Spark 集區會針對所有輸出連線使用 TLS 1.2。

下一步

在本白皮書系列中的 下一篇文章 中,了解訪問控制。