White paper sulla sicurezza di Azure Synapse Analytics: Protezione dei dati
Nota
Questo articolo fa parte della serie di articoli del White paper sulla sicurezza di Azure Synapse Analytics. Per una panoramica della serie, vedere White paper sulla sicurezza di Azure Synapse Analytics.
Individuazione e classificazione dei dati
Le organizzazioni devono proteggere i dati per rispettare le linee guida federali, locali e aziendali per attenuare i rischi di violazione dei dati. Una sfida per le organizzazioni è: come si proteggono i dati se non si sa dove si trovano? Un'altra è: Quale livello di protezione è necessario? perché alcuni set di dati richiedono una maggiore protezione rispetto ad altri.
Si supponga che un'organizzazione abbia centinaia o migliaia di file archiviati nel data lake e centinaia o migliaia di tabelle nei database. Trae vantaggio da un processo che analizza automaticamente ogni riga e colonna del file system o della tabella e classifica le colonne come dati potenzialmente sensibili. Questo processo è noto come individuazione dei dati.
Una volta completato il processo di individuazione dei dati, vengono fornite raccomandazioni di classificazione basate su un set predefinito di modelli, parole chiave e regole. Un utente può quindi esaminare le raccomandazioni e applicare etichette di classificazione di riservatezza alle colonne appropriate. Questo processo è noto come classificazione.
Azure Synapse offre due opzioni per l'individuazione e la classificazione dei dati:
- Individuazione e classificazione dei dati, che è integrato in Azure Synapse e nel pool SQL dedicato (in precedenza SQL Data Warehouse).
- Microsoft Purview, che è una soluzione unificata di governance dei dati che consente di gestire e gestire dati locali, multicloud e SaaS (Software-as-a-Service). Può automatizzare l'individuazione dei dati, l'identificazione della derivazione e la classificazione dei dati. Producendo una mappa unificata degli asset di dati e delle relative relazioni, rende facilmente individuabili i dati.
Nota
L'individuazione e la classificazione dei dati di Microsoft Purview sono disponibili in anteprima pubblica per Azure Synapse, pool SQL dedicato (in precedenza SQL Data Warehouse) e pool SQL serverless. Tuttavia, la derivazione dei dati non è attualmente supportata per Azure Synapse, il pool SQL dedicato (in precedenza SQL Data Warehouse) e il pool SQL serverless. Il pool di Apache Spark supporta solo il rilevamento della derivazione.
Crittografia dei dati
I dati sono crittografati quando sono inattivi o in transito.
Dati inattivi
Per impostazione predefinita, Archiviazione di Azure crittografa automaticamente tutti i dati usando la crittografia AES 256 bit Advanced Encryption Standard (AES 256). È una delle crittografie a blocchi più forti disponibili ed è conforme a FIPS 140-2. La piattaforma gestisce la chiave di crittografia e costituisce il primo livello di crittografia dei dati. Questa crittografia si applica sia ai database utente che a quelli di sistema, incluso il database master.
L'abilitazione di Transparent Data Encryption (TDE) può aggiungere un secondo livello di crittografia dei dati per i pool SQL dedicati. Esegue la crittografia I/O in tempo reale e la decrittografia dei file di database, dei file dei log delle transazioni e dei backup inattivi senza richiedere modifiche all'applicazione. Per impostazione predefinita, usa AES 256.
Per impostazione predefinita, TDE protegge la chiave di crittografia del database con un certificato server predefinito (gestito dal servizio). È possibile usare una chiave BYOK (Bring Your Own Key) che può essere archiviata in modo sicuro in Azure Key Vault.
Il pool serverless di Azure Synapse SQL e il pool di Apache Spark sono motori di analisi che funzionano direttamente in Azure Data Lake Gen2 (ALDS Gen2) o in Archiviazione BLOB di Azure. Questi runtime analitici non dispongono di alcuna risorsa di archiviazione permanente e si basano sulle tecnologie di crittografia di Archiviazione di Azure per la protezione dei dati. Per impostazione predefinita, Archiviazione di Azure crittografa tutti i dati usando la crittografia lato server. È abilitato per tutti i tipi di archiviazione (incluso ADLS Gen2) e non può essere disabilitato. SSE crittografa e decrittografa i dati in modo trasparente usando AES 256.
Sono disponibili due opzioni di crittografia SSE:
- Chiavi gestite da Microsoft: Microsoft gestisce ogni aspetto della chiave di crittografia, tra cui l'archiviazione delle chiavi, la proprietà e le rotazioni. È completamente trasparente per i clienti.
- Chiavi gestite dal cliente: in questo caso, la chiave simmetrica usata per crittografare i dati in Archiviazione di Azure viene crittografata usando una chiave fornita dal cliente. Supporta chiavi RSA e RSA-HSM (moduli di sicurezza hardware) di dimensioni 2048, 3072 e 4096. Le chiavi possono essere archiviate in modo sicuro in Azure Key Vault o nel modulo di protezione hardware gestito di Azure Key Vault. Fornisce un controllo di accesso granulare della chiave e della relativa gestione, tra cui archiviazione, backup e rotazioni. Per altre informazioni, vedere Chiavi gestite dal cliente per la crittografia di archiviazione di Azure.
Anche se SSE costituisce il primo livello di crittografia, i clienti prudenti possono raddoppiare la crittografia abilitando un secondo livello di crittografia AES a 256 bit a livello di infrastruttura di Archiviazione di Azure. Nota come crittografia dell'infrastruttura, usa una chiave gestita dalla piattaforma insieme a una chiave separata dalla crittografia del servizio di archiviazione. Quindi, i dati nell'account di archiviazione vengono crittografati due volte; una volta a livello di servizio e una volta a livello di infrastruttura con due algoritmi di crittografia diversi e chiavi diverse.
Dati in transito
Azure Synapse, pool SQL dedicato (in precedenza SQL Data Warehouse) e pool SQL serverless usano il protocollo TDS (Tabular Data Stream) per comunicare tra l'endpoint del pool SQL e un computer client. TDS dipende da Transport Layer Security (TLS) per la crittografia del canale, assicurando che tutti i pacchetti di dati siano protetti e crittografati tra endpoint e computer client. Usa un certificato server firmato dall'autorità di certificazione (CA) usato per la crittografia TLS, gestito da Microsoft. Azure Synapse supporta la crittografia dei dati in transito con TLS v1.2, usando la crittografia AES 256.
Azure Synapse sfrutta TLS per garantire che i dati siano crittografati in movimento. I pool SQL dedicati supportano le versioni TLS 1.0, TLS 1.1 e TLS 1.2 per la crittografia in cui i driver forniti da Microsoft usano TLS 1.2 per impostazione predefinita. Il pool SQL serverless e il pool Apache Spark usano TLS 1.2 per tutte le connessioni in uscita.
Passaggi successivi
Nell'articolo successivo in questo white paper vengono fornite informazioni sul controllo di accesso.