Azure Synapse Analytics のセキュリティに関するホワイト ペーパー: データ保護
注意
この記事は、"Azure Synapse Analytics のセキュリティに関するホワイト ペーパー" シリーズの記事に含まれています。 このシリーズの概要については、Azure Synapse Analytics のセキュリティに関するホワイト ペーパーを参照してください。
データの検出と分類
組織は、データ侵害のリスクを軽減するために、国、地域、および会社のガイドラインに準拠するようにデータを保護する必要があります。 組織が直面する 1 つの課題は、データがどこにあるか分からない場合、どのように保護しますか? というものです。もう 1 つの課題は、どのレベルの保護が必要ですか? というものです。これは、データ・セットの中には他のデータ・セットより多くの保護が必要なものがあるからです。
何百または何千ものファイルがデータ レイクに格納され、何百または何千ものテーブルがデータベースに格納されている組織を想像してみてください。 ファイル システムまたはテーブルのすべての行と列を自動的にスキャンし、列を機密の "可能性がある" データとして分類するプロセスによるメリットを活用できます。 このプロセスは "データ検出" と呼ばれます。
データ検出プロセスが完了すると、事前に定義された一連のパターン、キーワード、ルールに基づく分類の推奨事項が提供されます。 その後、他のユーザーが推奨事項を確認し、適切な列に機密分類ラベルを適用できます。 このプロセスが "分類" と呼ばれます。
Azure Synapse には、データの検出と分類に関する次の 2 つのオプションがあります。
- データの検出 & 分類は、Azure Synapse と専用 SQL プール (旧称 DW SQL) に組み込まれます。
- Microsoft Purview は、オンプレミス、マルチクラウド、SaaS (サービスとしてのソフトウェア) の各データの管理と制御に役立つ統合データ ガバナンス ソリューションです。 データの検出、系列の識別、データ分類を自動化できます。 データ資産とそのリレーションシップの統合マップを生成することで、データを簡単に検出できます。
注意
Microsoft Purview データの検出と分類は、Azure Synapse、専用 SQL プール (旧称 SQL DW)、サーバーレス SQL プールについてパブリック プレビュー中です。 ただし、データ系列は、Azure Synapse、専用 SQL プール SQL (旧称 SQL DW)、サーバーレス SQL プールでは現在サポートされていません。 Apache Spark プールのみが、系列追跡をサポートします。
データの暗号化
保存データと転送中のデータは暗号化されます。
保存データ
既定では、Azure Storage は、256 ビット Advanced Encryption Standard 暗号化 (AES 256) を使用してすべてのデータを自動的に暗号化します。 これは、使用可能な最も強力なブロック暗号の 1 つであり、FIPS 140-2 に準拠しています。 プラットフォームによって暗号化キーが管理され、データ保護の "最初の層" が形成されます。 この暗号化は、マスター データベースを含む、ユーザー データベースとシステム データベースの両方に適用されます。
この Transparent Data Encryption (TDE) を有効にすると、専用 SQL プール用にデータ暗号化の "2 つ目の層" を追加できます。 アプリケーションに変更を加えることなく、データベース ファイル、トランザクション ログ ファイル、保存時のバックアップのリアルタイム I/O 暗号化と暗号化解除を実行します。 既定では、AES 256 を使用します。
既定では、TDE は組み込みのサーバー証明書を使用してデータベース暗号化キー (DEK) を保護します (サービス管理)。 Azure Key Vault に安全に格納できる独自のキーを持ち込む (BYOK) オプションがあります。
Azure Synapse SQL サーバーレス プールと Apache Spark プールは、Azure Data Lake Gen2 (ALDS Gen2) または Azure Blob Storage で直接動作する分析エンジンです。 これらの分析ランタイムには永続的なストレージがなく、データ保護に Azure Storage 暗号化テクノロジを使用します。 既定では、Azure Storage ではサーバー側暗号化 (SSE) を使用してすべてのデータが暗号化されます。 これは、すべてのストレージの種類 (ADLS Gen2 を含む) に対して有効になっているので、無効にすることはできません。 SSE では、AES 256 を使用してデータを透過的に暗号化および暗号化解除します。
SSE 暗号化には、次の 2 つのオプションがあります。
- Microsoft マネージド キー: Microsoft は、キー ストレージ、所有権、ローテーションなど、暗号化キーのあらゆる側面を管理します。 これは顧客からは全く認識されません。
- カスタマー マネージド キー: この場合、Azure Storage でデータを暗号化するのに使用される対称キーは、カスタマー指定のキーを使用して暗号化されます。 サイズが 2048、3072、および 4096 の RSA および RSA-HSM (ハードウェア セキュリティ モジュール) キーがサポートされます。 キーは、Azure Key Vault または Azure Key Vault Managed HSM に安全に格納できます。 ストレージ、バックアップ、ローテーションなど、キーとその管理をきめ細かくアクセス制御できます。 詳細については、「Azure Storage 暗号化のカスタマー マネージド キー」を参照してください。
SSE は暗号化の最初の層を形成しますが、慎重な顧客は、Azure Storage インフラストラクチャ レイヤーで 256 ビット AES 暗号化の 2 番目の層を有効にすることで、二重暗号化を行うことができます。 これは "インフラストラクチャ暗号化" と呼ばれ、SSE とは別のキーと一緒にプラットフォーム マネージド キーが使用されます。 したがって、ストレージ アカウントのデータは、2 つの異なる暗号化アルゴリズムと異なるキーを使用して 2 回暗号化されます。つまり、サービス レベルで 1 回、インフラストラクチャ レベルで 1 回です。
転送中のデータ
Azure Synapse、専用 SQL プール (旧称 SQL DW)、サーバーレス SQL プールでは、表形式データ ストリーム (TDS) プロトコルを使用して、SQL プール エンドポイントとクライアント コンピューター間で通信します。 TDS は、チャネル暗号化にトランスポート層セキュリティ (TLS) を利用して、エンドポイントとクライアント コンピューターの間ですべてのデータ パケットがセキュリティで保護され、暗号化されることを確実にします。 TLS 暗号化に使用され、Microsoft が管理する証明機関 (CA) の署名付きサーバー証明書を使用します。 Azure Synapse は、AES 256 暗号化を使用した TLS v1.2 での転送中のデータ暗号化をサポートします。
Azure Synapse では、TLS を利用して、移動中のデータが暗号化されるようにします。 Microsoft 提供のドライバーが既定で TLS 1.2 を使用する暗号化に対して、SQL 専用プールでは、TLS 1.0、TLS 1.1、TLS 1.2 の各バージョンがサポートされます。 サーバーレス SQL プールと Apache Spark プールでは、すべての送信接続に TLS 1.2 が使用されます。
次の手順
このホワイト ペーパー シリーズの次の記事では、アクセス制御について説明します。