Azure Synapse Analytics çalışma alanları için şifreleme

Bu makalede şunlar açıklanmaktadır:

  • Synapse Analytics çalışma alanlarında bekleyen verilerin şifrelenmesi.
  • Müşteri tarafından yönetilen anahtarla şifrelemeyi etkinleştirmek için Synapse çalışma alanlarının yapılandırılması.
  • Çalışma alanlarındaki verileri şifrelemek için kullanılan anahtarları yönetme.

Bekleyen verilerin şifrelenmesi

Tam bir Bekleyen Şifreleme çözümü, verilerin hiçbir zaman şifrelenmemiş biçimde kalıcı olmamasını sağlar. Bekleyen verilerin çift şifrelenmesi, tek bir katmanın tehlikeye atılmasına karşı koruma sağlamak için iki ayrı şifreleme katmanıyla tehditleri azaltır. Azure Synapse Analytics, müşteri tarafından yönetilen bir anahtarla çalışma alanınızdaki veriler için ikinci bir şifreleme katmanı sunar. Bu anahtar Azure Key Vault'unuzda korunarak anahtar yönetimi ve döndürme sahipliğini almanıza olanak tanır.

Azure hizmetleri için ilk şifreleme katmanı, platform tarafından yönetilen anahtarlarla etkinleştirilir. Varsayılan olarak Azure Diskleri ve Azure Depolama hesaplarındaki veriler bekleme sırasında otomatik olarak şifrelenir. Azure Şifrelemeye Genel Bakış bölümünde Microsoft Azure'da şifrelemenin nasıl kullanıldığı hakkında daha fazla bilgi edinin.

Not

Tablo adları, nesne adları ve dizin adları gibi müşteri içeriği olarak kabul edilen bazı öğeler Microsoft tarafından destek ve sorun giderme amacıyla günlük dosyalarına aktarılabilir.

Azure Synapse şifrelemesi

Bu bölüm, Synapse çalışma alanlarında müşteri tarafından yönetilen anahtar şifrelemenin nasıl etkinleştirildiğini ve uygulandığını daha iyi anlamanıza yardımcı olur. Bu şifrelemede mevcut anahtarlar veya Azure Key Vault'ta oluşturulan yeni anahtarlar kullanılır. Çalışma alanında tüm verileri şifrelemek için tek bir anahtar kullanılır. Synapse çalışma alanları RSA 2048 ve 3072 bayt boyutunda anahtarları ve RSA-HSM anahtarlarını destekler.

Not

Synapse çalışma alanları şifreleme için EC, EC-HSM ve oct-HSM anahtarlarının kullanımını desteklemez.

Aşağıdaki Synapse bileşenlerindeki veriler, çalışma alanı düzeyinde yapılandırılmış müşteri tarafından yönetilen anahtarla şifrelenir:

  • SQL havuzları
    • Ayrılmış SQL havuzları
    • Sunucusuz SQL havuzları
  • Veri Gezgini havuzları
  • Apache Spark havuzları
  • Azure Data Factory tümleştirme çalışma zamanları, işlem hatları, veri kümeleri.

Çalışma alanı şifreleme yapılandırması

Çalışma alanları, çalışma alanı oluşturulurken müşteri tarafından yönetilen bir anahtarla çift şifrelemeyi etkinleştirecek şekilde yapılandırılabilir. Yeni çalışma alanınızı oluştururken "Güvenlik" sekmesinde müşteri tarafından yönetilen bir anahtar kullanarak çift şifrelemeyi etkinleştirin. Anahtar tanımlayıcısı URI'sini girmeyi veya çalışma alanıyla aynı bölgedeki anahtar kasaları listesinden seçim yapmayı seçebilirsiniz. Key Vault'un temizleme korumasının etkinleştirilmesi gerekir.

Önemli

Çalışma alanı oluşturulduktan sonra çift şifreleme için yapılandırma ayarı değiştirilemez.

Bu diyagramda, bir çalışma alanının müşteri tarafından yönetilen anahtarla çift şifreleme için etkinleştirilmesi için seçilmesi gereken seçenek gösterilir.

Anahtar erişimi ve çalışma alanı etkinleştirme

Müşteri tarafından yönetilen anahtarlara sahip Azure Synapse şifreleme modeli, çalışma alanının gerektiğinde şifrelemek ve şifrelerini çözmek için Azure Key Vault'taki anahtarlara erişmesini içerir. Anahtarlar, bir erişim ilkesi veya Azure Key Vault RBAC aracılığıyla çalışma alanı için erişilebilir hale getirilir. Azure Key Vault erişim ilkesi aracılığıyla izinler verilirken, ilke oluşturma sırasında "Yalnızca uygulama" seçeneğini belirleyin (çalışma alanları yönetilen kimliğini seçin ve yetkili uygulama olarak eklemeyin).

Çalışma alanının etkinleştirilmesi için önce anahtar kasasında çalışma alanı yönetilen kimliğine gereken izinlerin verilmesi gerekir. Çalışma alanı etkinleştirmeye yönelik bu aşamalı yaklaşım, çalışma alanındaki verilerin müşteri tarafından yönetilen anahtarla şifrelenmesini sağlar. Ayrı ayrı ayrılmış SQL Havuzları için şifreleme etkinleştirilebilir veya devre dışı bırakılabilir. Her ayrılmış havuz varsayılan olarak şifreleme için etkinleştirilmez.

Kullanıcı Tarafından Atanan Yönetilen kimlik kullanma

Çalışma alanları, Azure Key Vault'ta depolanan müşteri tarafından yönetilen anahtarınıza erişmek için Kullanıcı tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırılabilir. Müşteri tarafından yönetilen anahtarlarla çift şifreleme kullanırken Azure Synapse çalışma alanınızın aşamalı olarak etkinleştirilmesini önlemek için Kullanıcı Tarafından Atanan Yönetilen kimlik yapılandırın. Azure Synapse çalışma alanına kullanıcı tarafından atanan yönetilen kimlik atamak için Yönetilen Kimlik Katkıda Bulunanı yerleşik rolü gereklidir.

Not

Kullanıcı Tarafından Atanan Yönetilen Kimlik, Azure Key Vault bir güvenlik duvarının arkasındayken müşteri tarafından yönetilen anahtara erişecek şekilde yapılandırılamaz.

Bu diyagramda, bir çalışma alanının müşteri tarafından yönetilen anahtarla çift şifreleme için kullanıcı tarafından atanan yönetilen kimliği kullanmasını sağlamak için seçilmesi gereken seçenek gösterilir.

İzinler

Bekleyen verileri şifrelemek veya şifresini çözmek için yönetilen kimliğin aşağıdaki izinlere sahip olması gerekir. Benzer şekilde, yeni anahtar oluşturmak için bir Resource Manager şablonu kullanıyorsanız, şablonun 'keyOps' parametresi aşağıdaki izinlere sahip olmalıdır:

  • WrapKey (yeni anahtar oluştururken Key Vault'a anahtar eklemek için).
  • UnwrapKey (şifre çözme anahtarını almak için).
  • Alma (anahtarın ortak bölümünü okumak için)

Çalışma alanı etkinleştirme

Çalışma alanı oluşturma sırasında müşteri tarafından yönetilen anahtarlara erişmek için kullanıcı tarafından atanan yönetilen kimliği yapılandırmazsanız, etkinleştirme başarılı olana kadar çalışma alanınız "Beklemede" durumda kalır. Tüm işlevleri tam olarak kullanabilmeniz için önce çalışma alanının etkinleştirilmesi gerekir. Örneğin, yalnızca etkinleştirme başarılı olduktan sonra yeni bir ayrılmış SQL havuzu oluşturabilirsiniz. Çalışma alanı yönetilen kimliğine anahtar kasasına erişim verin ve çalışma alanı Azure portalı başlığındaki etkinleştirme bağlantısını seçin. Etkinleştirme başarıyla tamamlandıktan sonra, çalışma alanınız içindeki tüm verilerin müşteri tarafından yönetilen anahtarınız ile korunduğundan emin olarak kullanıma hazırdır. Daha önce belirtildiği gibi, etkinleştirmenin başarılı olması için anahtar kasasında temizleme korumasının etkinleştirilmesi gerekir.

Bu diyagramda, çalışma alanının etkinleştirme bağlantısını içeren başlık gösterilir.

Çalışma alanı müşteri tarafından yönetilen anahtarını yönetme

Verileri şifrelemek için kullanılan müşteri tarafından yönetilen anahtarı Azure portalındaki Şifreleme sayfasından değiştirebilirsiniz. Burada da bir anahtar tanımlayıcısı kullanarak yeni bir anahtar seçebilir veya çalışma alanıyla aynı bölgede erişiminiz olan Key Vault'lardan seçim yapabilirsiniz. Daha önce kullanılanlardan farklı bir anahtar kasasında anahtar seçerseniz, çalışma alanı tarafından yönetilen kimliğe yeni anahtar kasası üzerinde "Get", "Wrap" ve "Unwrap" izinleri verin. Çalışma alanı yeni anahtar kasasına erişimini doğrular ve çalışma alanı içindeki tüm veriler yeni anahtarla yeniden şifrelenir.

Bu diyagramda Azure portalındaki çalışma alanı Şifrelemesi bölümü gösterilir.

Önemli

Çalışma alanının şifreleme anahtarını değiştirirken, eski anahtarı çalışma alanında yeni bir anahtarla değiştirene kadar koruyun. Bu, yeni anahtarla yeniden şifrelenmeden önce eski anahtarla verilerin şifresinin çözülmesine olanak tanır. SQL havuzunun (Çevrimiçi/Çevrimdışı) durumu, çalışma alanı müşteri tarafından yönetilen anahtar (CMK) döndürme işlemini etkilemez.

  • CMK döndürmesi sırasında çevrimdışı olan SQL havuzları eski anahtar veya anahtar sürümüyle şifrelenmiş olarak kalır. Eski anahtar veya anahtar sürümü devre dışı bırakıldıysa veya süresi dolduysa, şifre çözme mümkün olmadığından havuzlar sürdürülemez. Bu havuzlar devam ettirildikten sonra, eski anahtar veya anahtar sürümü 1) etkinleştirilmeli ve 2) şifre çözme ve yeni anahtar veya anahtar sürümüyle daha sonra yeniden şifrelemeye izin vermek için gelecekte ayarlanmış bir sona erme tarihi olmalıdır.

  • Sorunsuz bir CMK döndürmesi sağlamak için, işlem sırasında bazı SQL havuzları çevrimdışıysa, eski anahtar veya anahtar sürümünün etkin kalması ve son kullanma tarihinin gelecekte ayarlanmış olması gerekir. Çevrimdışı havuzlar başarıyla sürdürülene ve yeni anahtar veya anahtar sürümüyle yeniden şifrelenene kadar bu çok önemlidir.

  • Yedeklemelerin şifresini çözmek için hala gerekli olabileceği için eski anahtarları veya anahtar sürümlerini silmemek kesinlikle önerilir. Bunun yerine, tüm SQL havuzları yeni anahtar veya anahtar sürümüyle yeniden şifrelendikten sonra eski anahtarı veya anahtar sürümünü devre dışı bırakın . Bu, gerekirse eski yedeklemelerin şifresini çözmek için eski anahtarın veya anahtar sürümünün kullanılabilir durumda kalmasını sağlar.

Anahtarların otomatik, düzenli olarak döndürülebileceği veya anahtarlardaki eylemler için Azure Key Vaults ilkeleri yeni anahtar sürümlerinin oluşturulmasına neden olabilir. Çalışma alanında bulunan tüm verileri etkin anahtarın en son sürümüyle yeniden şifrelemeyi seçebilirsiniz. Yeniden şifrelemek için Azure portalındaki anahtarı geçici bir anahtarla değiştirin ve ardından şifreleme için kullanmak istediğiniz anahtara geri dönün. Örneğin, etkin anahtar1'in en son sürümünü kullanarak veri şifrelemesini güncelleştirmek için, müşteri tarafından yönetilen çalışma alanı anahtarını geçici anahtar olan Key2 olarak değiştirin. Key2 ile şifrelemenin tamamlanmasını bekleyin. Ardından çalışma alanı müşteri tarafından yönetilen anahtarı yeniden Key1'e geçirin. Çalışma alanında veriler, Key1'in en son sürümüyle yeniden şifrelenir.

Not

Azure Synapse Analytics, yeni anahtar sürümleri oluşturulduğunda verileri otomatik olarak yeniden şifrelemez. Çalışma alanınızda tutarlılık sağlamak için yukarıda ayrıntılı olarak açıklanan işlemi kullanarak verilerin yeniden şifrelenmesini zorlayabilirsiniz.

Hizmet tarafından yönetilen anahtarlarla SQL Saydam Veri Şifrelemesi

SQL Saydam Veri Şifrelemesi (TDE), çift şifreleme için etkinleştirilmemiş çalışma alanlarındaki ayrılmış SQL Havuzları için kullanılabilir. Bu tür çalışma alanında, ayrılmış SQL havuzlarındaki veriler için çift şifreleme sağlamak için hizmet tarafından yönetilen bir anahtar kullanılır. Hizmet tarafından yönetilen anahtarla TDE, ayrı ayrı ayrılmış SQL havuzları için etkinleştirilebilir veya devre dışı bırakılabilir.

Azure SQL Veritabanı ve Azure Synapse için cmdlet'ler

PowerShell aracılığıyla TDE'yi yapılandırmak için Azure Sahibi, Katkıda Bulunanı veya SQL Güvenlik Yöneticisi olarak bağlı olmanız gerekir.

Azure Synapse çalışma alanı için aşağıdaki cmdlet'leri kullanın.

Cmdlet Açıklama
Set-AzSynapseSqlPoolTransparentDataEncryption SQL havuzu için saydam veri şifrelemesini etkinleştirir veya devre dışı bırakır.
Get-AzSynapseSqlPoolTransparentDataEncryption SQL havuzu için saydam veri şifreleme durumunu alır.
New-AzSynapseWorkspaceKey Çalışma alanına Key Vault anahtarı ekler.
Get-AzSynapseWorkspaceKey Çalışma alanı için Key Vault anahtarlarını alır
Update-AzSynapseWorkspace Çalışma alanı için saydam veri şifreleme koruyucusu ayarlar.
Get-AzSynapseWorkspace Saydam veri şifreleme koruyucusu alır
Remove-AzSynapseWorkspaceKey Çalışma alanından Key Vault anahtarını kaldırır.