Compartilhar via


White paper de segurança do Azure Synapse Analytics: Proteção de dados

Observação

Este artigo faz parte da série de white papers sobre segurança do Azure Synapse Analytics. Para obter uma visão geral da série, confira White paper de segurança do Azure Synapse Analytics.

Descoberta e classificação de dados

As organizações precisam proteger os dados para estarem em conformidade com as diretrizes federais, locais e da empresa a fim de mitigar os riscos de violação de dados. Um desafio para as organizações é saber como proteger os dados sem saber onde eles estão e também qual é o nível de proteção necessária, pois alguns conjuntos de dados precisam de mais proteção do que outros.

Imagine uma organização com centenas ou milhares de arquivos armazenados no data lake e centenas ou milhares de tabelas nos bancos de dados. Ela se beneficiaria de um processo que verifique automaticamente cada linha e coluna do sistema de arquivos ou da tabela e classifique as colunas como dados potencialmente confidenciais. Esse processo é conhecido como descoberta de dados.

Depois que o processo de descoberta de dados for concluído, ele fornecerá recomendações de classificação com base em um conjunto predefinido de padrões, palavras-chave e regras. Alguém pode, então, examinar as recomendações e aplicar rótulos de classificação de confidencialidade às colunas apropriadas. Esse processo é conhecido como classificação.

O Azure Synapse fornece duas opções para a descoberta e a classificação de dados:

  • Descoberta e Classificação de Dados, que é integrada ao Azure Synapse e ao pool de SQL dedicado (antigo SQL DW).
  • Microsoft Purview, é uma solução unificada de governança de dados que ajuda a gerenciar e controlar dados locais, multinuvem e SaaS (software como serviço). Ele pode automatizar a descoberta de dados, a identificação de linhagem e a classificação de dados. Ao produzir um mapa unificado de ativos de dados e as respectivas relações, ele torna os dados facilmente detectáveis.

Observação

A descoberta e classificação de dados do Microsoft Purview está em visualização pública para Azure Synapse, pool de SQL dedicado (anteriormente SQL DW) e pool de SQL sem servidor. No entanto, no momento, não há suporte para a linhagem de dados no Azure Synapse, no pool de SQL dedicado (antigo SQL DW) e no pool de SQL sem servidor. O pool do Apache Spark dá suporte apenas ao controle de linhagem.

Criptografia de dados

Os dados são criptografados quando estão inativos e em trânsito.

Dados em repouso

Por padrão, o Armazenamento do Azure criptografa automaticamente todos os dados usando criptografia AES de 256 bits (AES 256). É uma das codificações de bloco mais fortes disponíveis e está em conformidade com o FIPS 140-2. A plataforma gerencia a chave de criptografia e ela forma a primeira camada de criptografia de dados. Essa criptografia se aplica aos bancos de dados do usuário e do sistema, incluindo o banco de dados mestre.

A habilitação do TDE (Transparent Data Encryption) pode adicionar uma segunda camada de criptografia de dados para pools de SQL dedicados. Ela realiza a criptografia e a descriptografia de E/S em tempo real de arquivos do banco de dados, arquivos de log de transações e backups inativos sem a necessidade de alterações no aplicativo. Por padrão, ela usa o AES 256.

Por padrão, o TDE protege a DEK (chave de criptografia de banco de dados) com um certificado do servidor interno (gerenciado pelo serviço). Há uma opção de BYOK (Bring Your Own Key) que pode ser armazenada com segurança no Azure Key Vault.

O pool sem servidor do SQL do Azure Synapse e o pool do Apache Spark são mecanismos analíticos que funcionam diretamente no ALDS Gen2 (Azure Data Lake Gen2) ou no Armazenamento de Blobs do Azure. Esses runtimes analíticos não têm nenhum armazenamento permanente e contam com as tecnologias de criptografia do Armazenamento do Azure para proteção de dados. Por padrão, o Armazenamento do Azure criptografa todos os dados usando a SSE (criptografia do lado do servidor). Ele está habilitado para todos os tipos de armazenamento (incluindo o ADLS Gen2) e não pode ser desabilitado. A SSE criptografa e descriptografa os dados usando o AES 256 de modo transparente.

Há duas opções de criptografia SSE:

  • Chaves gerenciadas pela Microsoft: a Microsoft gerencia todos os aspectos da chave de criptografia, incluindo armazenamento, propriedade e rotações de chave. Ela é totalmente transparente com os clientes.
  • Chaves gerenciadas pelo cliente: nesse caso, a chave simétrica usada para criptografar dados no Armazenamento do Azure é criptografada usando uma chave fornecida pelo cliente. Ela dá suporte a chaves RSA e RSA-HSM (Módulos de Segurança de Hardware) dos tamanhos 2048, 3072 e 4096. As chaves podem ser armazenadas com segurança no Azure Key Vault ou no HSM gerenciado pelo Azure Key Vault. Ela fornece controle de acesso com granularidade fina da chave e do gerenciamento, incluindo armazenamento, backup e rotações. Para obter mais informações, confira Chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure.

Embora a SSE seja a primeira camada de criptografia, os clientes mais cuidadosos podem criptografar duas vezes habilitando uma segunda camada de criptografia AES de 256 bits na camada de infraestrutura do Armazenamento do Azure. Conhecida como criptografia de infraestrutura, ela usa uma chave de criptografia gerenciada pela plataforma junto com uma chave separada da SSE. Os dados na conta de armazenamento são criptografados duas vezes: uma vez no nível do serviço e outra no nível da infraestrutura, com dois algoritmos de criptografia diferentes e chaves distintas.

Dados em trânsito

O Azure Synapse, o pool de SQL dedicado (antigo SQL DW) e o pool de SQL sem servidor usam o protocolo TDS para se comunicar entre o ponto de extremidade do pool de SQL e um computador cliente. O TDS depende do protocolo TLS para criptografia de canal, garantindo que todos os pacotes de dados estejam protegidos e criptografados entre o ponto de extremidade e o computador cliente. Ele usa um certificado do servidor assinado da AC (autoridade de certificação) usada para criptografia TLS, gerenciada pela Microsoft. O Azure Synapse dá suporte à criptografia de dados em trânsito com o TLS v1.2, usando a criptografia AES 256.

O Azure Synapse usa o TLS para garantir que os dados sejam criptografados em movimento. Os pools de SQL dedicados dão suporte às versões TLS 1.0, TLS 1.1 e TLS 1.2 para criptografia, em que os drivers fornecidos pela Microsoft usam TLS 1.2 por padrão. O pool de SQL sem servidor e o pool do Apache Spark usam o TLS 1.2 em todas as conexões de saída.

Importante

O Azure começará a desativar as versões mais antigas do TLS (TLS 1.0 e 1.1) a partir de novembro de 2024. Use o TLS 1.2 ou superior. Após 31 de março de 2025, você não poderá mais definir a versão mínima do TLS para conexões de cliente do Azure Synapse Analytics abaixo de TLS 1.2. Após essa data, as tentativas de entrada de conexões que usam uma versão do TLS inferior a 1.2 falharão. Para obter mais informações, confira Anúncio: O suporte do Azure para TLS 1.0 e TLS 1.1 será encerrado.

Próximas etapas

No próximo artigo desta série de white papers, saiba mais sobre o controle de acesso.