Sdílet prostřednictvím


Šifrování pracovních prostorů Azure Synapse Analytics

Tento článek popisuje:

  • Šifrování neaktivních uložených dat v pracovních prostorech Synapse Analytics
  • Konfigurace pracovních prostorů Synapse pro povolení šifrování pomocí klíče spravovaného zákazníkem
  • Správa klíčů používaných k šifrování dat v pracovních prostorech

Šifrování neaktivních uložených dat

Kompletní řešení šifrování v klidovém stavu zajišťuje, že data se nikdy neuchovávají v nezašifrované podobě. Dvojité šifrování neaktivních uložených dat snižuje hrozby se dvěma samostatnými vrstvami šifrování, které chrání před ohrožením jakékoli jedné vrstvy. Azure Synapse Analytics nabízí druhou vrstvu šifrování dat ve vašem pracovním prostoru s klíčem spravovaným zákazníkem. Tento klíč je chráněn ve službě Azure Key Vault, což umožňuje převzít vlastnictví správy a obměny klíčů.

První vrstva šifrování služeb Azure je povolená pomocí klíčů spravovaných platformou. Ve výchozím nastavení se disky Azure a data v účtech Azure Storage automaticky šifrují neaktivní uložená data. Další informace o tom, jak se šifrování používá v Microsoft Azure, najdete v přehledu služby Azure Encryption.

Poznámka:

Některé položky považované za zákaznický obsah, jako jsou názvy tabulek, názvy objektů a názvy indexů, se můžou přenášet v souborech protokolů pro podporu a řešení potíží od Microsoftu.

Šifrování Azure Synapse

Tato část vám pomůže lépe pochopit, jak je povolené a vynucované šifrování klíčů spravované zákazníkem v pracovních prostorech Synapse. Toto šifrování používá existující klíče nebo nové klíče vygenerované ve službě Azure Key Vault. Jeden klíč slouží k šifrování všech dat v pracovním prostoru. Pracovní prostory Synapse podporují klíče velikosti bajtů RSA 2048 a 3072 a klíče RSA-HSM.

Poznámka:

Pracovní prostory Synapse nepodporují použití klíčů EC, EC-HSM a oct-HSM pro šifrování.

Data v následujících komponentách Synapse se šifrují pomocí klíče spravovaného zákazníkem nakonfigurovaným na úrovni pracovního prostoru:

  • Fondy SQL
    • Vyhrazené fondy SQL
    • Bezserverové fondy SQL
  • Fondy Průzkumníka dat
  • Fondy Apache Sparku
  • Prostředí Azure Data Factory Integration Runtime, kanály a datové sady

Konfigurace šifrování pracovního prostoru

Pracovní prostory je možné nakonfigurovat tak, aby při vytváření pracovního prostoru povolovaly dvojité šifrování pomocí klíče spravovaného zákazníkem. Při vytváření nového pracovního prostoru povolte dvojité šifrování pomocí klíče spravovaného zákazníkem na kartě Zabezpečení. Můžete zadat identifikátor URI identifikátoru klíče nebo vybrat ze seznamu trezorů klíčů ve stejné oblasti jako pracovní prostor. Samotná služba Key Vault musí mít povolenou ochranu před vymazáním.

Důležité

Nastavení konfigurace pro dvojité šifrování nelze po vytvoření pracovního prostoru změnit.

Tento diagram znázorňuje možnost, kterou je potřeba vybrat, pokud chcete povolit dvojité šifrování pracovního prostoru pomocí klíče spravovaného zákazníkem.

Přístup ke klíči a aktivace pracovního prostoru

Model šifrování Azure Synapse s klíči spravovanými zákazníkem zahrnuje pracovní prostor, který přistupuje ke klíčům ve službě Azure Key Vault a podle potřeby je šifruje a dešifruje. Tyto klíče jsou přístupné pracovnímu prostoru prostřednictvím zásad přístupu nebo řízení přístupu na základě role ve službě Azure Key Vault. Při udělování oprávnění prostřednictvím zásad přístupu ke službě Azure Key Vault zvolte během vytváření zásad možnost Pouze aplikace (vyberte spravovanou identitu pracovních prostorů a nepřidávejte ji jako autorizovanou aplikaci).

Spravovaná identita pracovního prostoru musí mít udělená oprávnění, která potřebuje v trezoru klíčů, než bude možné pracovní prostor aktivovat. Tento fázovaný přístup k aktivaci pracovního prostoru zajišťuje šifrování dat v pracovním prostoru pomocí klíče spravovaného zákazníkem. Pro jednotlivé vyhrazené fondy SQL je možné povolit nebo zakázat šifrování. Každý vyhrazený fond není ve výchozím nastavení povolený pro šifrování.

Použití spravované identity přiřazené uživatelem

Pracovní prostory je možné nakonfigurovat tak, aby používaly spravovanou identitu přiřazenou uživatelem pro přístup k klíči spravovanému zákazníkem uloženým ve službě Azure Key Vault. Nakonfigurujte spravovanou identitu přiřazenou uživatelem, aby se zabránilo postupné aktivaci pracovního prostoru Azure Synapse při použití dvojitého šifrování s klíči spravovanými zákazníkem. Předdefinovaná role Přispěvatel spravované identity je nutná k přiřazení spravované identity přiřazené uživatelem k pracovnímu prostoru Azure Synapse.

Poznámka:

Spravovanou identitu přiřazenou uživatelem není možné nakonfigurovat pro přístup ke klíči spravovanému zákazníkem, pokud je služba Azure Key Vault za bránou firewall.

Tento diagram znázorňuje možnost, kterou je potřeba vybrat, aby pracovní prostor mohl používat spravovanou identitu přiřazenou uživatelem pro dvojité šifrování s klíčem spravovaným zákazníkem.

Oprávnění

Pokud chcete šifrovat nebo dešifrovat neaktivní uložená data, musí mít spravovaná identita následující oprávnění. Podobně pokud k vytvoření nového klíče používáte šablonu Resource Manageru, musí mít parametr keyOps šablony následující oprávnění:

  • WrapKey (pro vložení klíče do služby Key Vault při vytváření nového klíče)
  • UnwrapKey (pro získání klíče pro dešifrování).
  • Získání (čtení veřejné části klíče)

Aktivace pracovního prostoru

Pokud během vytváření pracovního prostoru nenakonfigurujete spravovanou identitu přiřazenou uživatelem pro přístup ke klíčům spravovaným zákazníkem, zůstane váš pracovní prostor ve stavu Čeká na vyřízení, dokud nebude aktivace úspěšná. Aby bylo možné plně používat všechny funkce, je nutné pracovní prostor aktivovat. Po úspěšném aktivaci můžete například vytvořit pouze nový vyhrazený fond SQL. Udělte spravované identitě pracovního prostoru přístup k trezoru klíčů a v banneru webu Azure Portal pracovního prostoru vyberte aktivační odkaz. Po úspěšném dokončení aktivace je váš pracovní prostor připravený k použití s jistotou, že všechna data v ní jsou chráněná klíčem spravovaným zákazníkem. Jak už jsme uvedli dříve, trezor klíčů musí mít povolenou ochranu před vymazáním, aby aktivace uspěla.

Tento diagram znázorňuje banner s aktivačním odkazem pro pracovní prostor.

Správa klíče pracovního prostoru spravovaného zákazníkem

Klíč spravovaný zákazníkem, který se používá k šifrování dat, můžete změnit na stránce Šifrování na webu Azure Portal. Tady můžete také zvolit nový klíč pomocí identifikátoru klíče nebo vybrat ze služby Key Vault, ke kterým máte přístup ve stejné oblasti jako pracovní prostor. Pokud zvolíte klíč v jiném trezoru klíčů, než který jste použili dříve, udělte identitě spravované pracovním prostorem oprávnění Get, Wrap a Unwrap u nového trezoru klíčů. Pracovní prostor ověří přístup k novému trezoru klíčů a všechna data v pracovním prostoru se znovu zašifrují pomocí nového klíče.

Tento diagram znázorňuje část Šifrování pracovního prostoru na webu Azure Portal.

Důležité

Při změně šifrovacího klíče pracovního prostoru zachovejte starý klíč, dokud ho nenahradíte v pracovním prostoru novým klíčem. To umožňuje dešifrování dat pomocí starého klíče předtím, než se znovu zašifruje pomocí nového klíče. Stav fondu SQL (Online nebo Offline) nemá vliv na proces obměně klíče spravovaného zákazníkem (CMK) pracovního prostoru.

  • Fondy SQL, které jsou offline během obměna CMK, zůstanou šifrované pomocí starého klíče nebo verze klíče. Pokud je starý klíč nebo verze klíče zakázána nebo vypršela jeho platnost, fondy nebudou pokračovat, protože dešifrování není možné. Po obnovení těchto fondů musí být starý klíč nebo verze klíče 1) povolená a 2) musí mít datum vypršení platnosti nastavené v budoucnu, aby bylo možné dešifrování a následné opětovné šifrování pomocí nového klíče nebo verze klíče.

  • Aby se zajistilo hladké obměně CMK, pokud jsou některé fondy SQL během procesu offline, původní klíč nebo verze klíče by měly zůstat povolené a mít v budoucnu nastavené datum vypršení platnosti. To je zásadní, dokud se offline fondy úspěšně neobnoví a znovu zašifrují pomocí nového klíče nebo verze klíče.

  • Důrazně doporučujeme neodstraňovat staré klíče nebo verze klíčů, protože je stále potřeba k dešifrování záloh. Místo toho po opětovném zašifrování všech fondů SQL pomocí nového klíče nebo verze klíče zakažte starý klíč nebo verzi klíče. Tím zajistíte, že starý klíč nebo verze klíče zůstanou k dispozici pro dešifrování starších záloh v případě potřeby.

Zásady služby Azure Key Vault pro automatické, pravidelné obměně klíčů nebo akce s klíči můžou vést k vytvoření nových verzí klíčů. Všechna data v pracovním prostoru můžete znovu zašifrovat pomocí nejnovější verze aktivního klíče. Pokud chcete klíč znovu zašifrovat, změňte klíč na webu Azure Portal na dočasný klíč a pak přepněte zpět na klíč, který chcete použít k šifrování. Pokud chcete například aktualizovat šifrování dat pomocí nejnovější verze aktivního klíče Key1, změňte klíč spravovaný zákazníkem pracovního prostoru na dočasný klíč Key2. Počkejte na dokončení šifrování pomocí klíče Key2. Potom přepněte klíč spravovaný zákazníkem pracovního prostoru zpět na data Key1 v pracovním prostoru se znovu zašifruje pomocí nejnovější verze Key1.

Poznámka:

Azure Synapse Analytics při vytváření nových verzí klíčů automaticky nešifruje data. Pokud chcete zajistit konzistenci v pracovním prostoru, vynuťte opětovné šifrování dat pomocí výše uvedeného procesu.

SQL transparentní šifrování dat s klíči spravovanými službou

Sql transparentní šifrování dat (TDE) je k dispozici pro vyhrazené fondy SQL v pracovních prostorech, které nejsou povolené pro dvojité šifrování. V tomto typu pracovního prostoru slouží klíč spravovaný službou k zajištění dvojitého šifrování dat ve vyhrazených fondech SQL. Transparentní šifrování dat s klíčem spravovaným službou je možné povolit nebo zakázat pro jednotlivé vyhrazené fondy SQL.

Rutiny pro Azure SQL Database a Azure Synapse

Pokud chcete nakonfigurovat transparentní šifrování dat prostřednictvím PowerShellu, musíte být připojení jako vlastník, přispěvatel nebo správce zabezpečení SQL Azure.

Pro pracovní prostor Azure Synapse použijte následující rutiny.

Rutina Popis
Set-AzSynapseSqlPoolTransparentDataEncryption Povolí nebo zakáže transparentní šifrování dat pro fond SQL.
Get-AzSynapseSqlPoolTransparentDataEncryption Získá transparentní stav šifrování dat pro fond SQL.
New-AzSynapseWorkspaceKey Přidá klíč služby Key Vault do pracovního prostoru.
Get-AzSynapseWorkspaceKey Získá klíče služby Key Vault pro pracovní prostor.
Update-AzSynapseWorkspace Nastaví ochranu transparentního šifrování dat pro pracovní prostor.
Get-AzSynapseWorkspace Získá transparentní ochranu šifrování dat.
Remove-AzSynapseWorkspaceKey Odebere klíč služby Key Vault z pracovního prostoru.