다음을 통해 공유


Azure Synapse Analytics 작업 영역에 대한 암호화

이 문서는 다음을 설명합니다.

  • Synapse Analytics 작업 영역에서 미사용 데이터의 암호화
  • 고객 관리형 키를 사용하여 암호화를 설정하는 Synapse 작업 영역 구성
  • 작업 영역에서 데이터를 암호화하는 데 사용되는 키 관리

미사용 데이터의 암호화

완전한 Encryption-at-Rest 솔루션이 암호화되지 않은 채 남아 있는 데이터가 없도록 보장합니다. 미사용 데이터를 이중으로 암호화하면 두 개의 암호화 레이어가 위협을 완화하여 모든 단일 레이어를 손상으로부터 보호할 수 있습니다. Azure Synapse Analytics는 고객 관리형 키와 함께 작업 영역에서 데이터에 대한 두 번째 암호화 레이어를 제공합니다. 고객 관리형 키는 키의 관리 및 회전에 대한 소유권을 가져올 수 있는 Azure Key Vault에서 보호합니다.

Azure 서비스에 대한 첫 번째 암호화 레이어는 플랫폼 관리형 키를 사용하여 설정합니다. 기본적으로 Azure Storage 계정의 Azure 디스크 및 데이터는 미사용 시 자동으로 암호화됩니다. Microsoft Azure의 암호화를 사용하는 방법에 대한 자세한 정보는 Azure 암호화 개요를 참조하세요.

참고 항목

테이블 이름, 개체 이름 및 인덱스 이름과 같이 고객 콘텐츠로 간주되는 일부 항목은 Microsoft의 지원 및 문제 해결을 위해 로그 파일로 전송될 수 있습니다.

Azure Synapse 암호화

이 섹션에서는 Synapse 작업 영역에서 고객 관리형 키 암호화를 설정하고 적용하는 방법에 대해 알아봅니다. 해당 암호화는 기존 키 또는 Azure Key Vault에서 생성된 새로운 키를 사용합니다. 단일 키를 사용하여 작업 영역에서 모든 데이터를 암호화합니다. Synapse 작업 영역은 RSA 2048 및 3072 바이트 크기 키 및 RSA-HSM 키를 지원합니다.

참고 항목

Synapse 작업 영역은 암호화에 EC, EC-HSM 및 oct-HSM 키 사용을 지원하지 않습니다.

다음 Synapse 구성 요소의 데이터는 작업 영역 수준에서 구성된 고객 관리형 키를 사용하여 암호화됩니다.

  • SQL 풀
    • 전용 SQL 풀
    • 서버리스 SQL 풀
  • Data Explorer 풀
  • Apache Spark 풀
  • Azure Data Factory 통합 런타임, 파이프라인, 데이터 세트.

작업 영역 암호화 구성

작업 영역을 만들 때 고객 관리형 키를 사용하여 이중 암호화를 설정하도록 작업 영역을 구성할 수 있습니다. 새 작업 영역을 만들 때 "보안" 탭에서 고객 관리형 키를 사용한 이중 암호화 설정 키 식별자 URI를 입력하거나 동일 하위 지역의 키 자격 증명 모음 목록에서 작업 영역을 선택할 수 있습니다. Key Vault 자체는 삭제 보호를 사용하도록 설정해야 합니다.

Important

작업 영역을 만든 후에는 이중 암호화에 대한 구성 설정을 변경할 수 없습니다.

이 다이어그램은 고객 관리 키로 이중 암호화에 대한 작업 영역을 설정하기 위해 선택해야 하는 옵션을 보여 줍니다.

키 액세스 및 작업 영역 활성화

고객 관리형 키를 사용하는 Azure Synapse 암호화 모델은 필요에 따라 Azure Key Vault에서 키에 액세스하여 암호화하고 암호를 해독하는 작업 영역을 포함합니다. 액세스 정책 또는 Azure Key Vault RBAC를 통해 작업 영역에서 키에 액세스할 수 있습니다. Azure Key Vault 액세스 정책을 통해 사용 권한을 부여하는 경우, 정책을 만드는 동안 "애플리케이션 전용" 옵션을 선택합니다(작업 영역 관리 ID를 선택하고 권한 있는 애플리케이션으로 추가하지 않음).

작업 영역을 활성화하려면 먼저 자격 증명 모음에 필요한 사용 권한을 작업 영역 관리 ID에 부여해야 합니다. 작업 영역 활성화에 대한 단계적 접근 방식은 작업 영역의 데이터가 고객 관리형 키를 통해 암호화되도록 합니다. 개인 전용 SQL 풀에 대해 암호화를 활성화하거나 비활성화할 수 있습니다. 각 전용 풀은 기본적으로 암호화에 사용할 수 없습니다.

사용자 할당 관리 ID 사용

사용자가 할당한 관리 ID를 사용하여 Azure Key Vault에 저장된 고객 관리형 키에 액세스하도록 작업 영역을 구성할 수 있습니다. 고객 관리형 키로 이중 암호화를 사용할 때 Azure Synapse 작업 영역의 단계적 활성화를 방지하도록 사용자가 할당한 관리 ID를 구성합니다. 관리 ID 기여자 기본 제공 역할은 Azure Synapse 작업 영역에 사용자가 할당한 관리 ID를 할당하는 데 필요합니다.

참고 항목

Azure Key Vault가 방화벽 뒤에 있는 경우 고객 관리형 키에 액세스하도록 사용자가 할당한 관리 ID를 구성할 수 없습니다.

이 다이어그램은 고객 관리형 키로 이중 암호화를 위해 사용자가 할당한 관리 ID를 사용하는 작업 영역을 사용하도록 선택해야 하는 옵션을 보여 줍니다.

사용 권한

미사용 데이터를 암호화하거나 암호를 해독하려면 관리 ID에 다음 사용 권한이 있어야 합니다. 마찬가지로 Resource Manager 템플릿을 사용하여 새 키를 만드는 경우 템플릿의 'keyOps' 매개 변수에는 다음 권한이 있어야 합니다.

  • WrapKey(새 키를 만들 때 Key Vault에 키를 삽입)
  • UnwrapKey(암호 해독을 위한 키 가져오기)
  • Get(키의 공개된 부분 읽기)

작업 영역 활성화

작업 영역 만들기 중에 고객 관리형 키에 액세스하도록 사용자가 할당한 관리 ID를 구성하지 않으면 활성화가 성공할 때까지 작업 영역이 “보류 중” 상태로 유지됩니다. 모든 기능을 완전히 사용하려면 작업 영역을 활성화해야 합니다. 예를 들어, 일단 활성화가 성공하면 새 전용 SQL 풀만 만들 수 있습니다. 작업 영역에 자격 증명 모음에 대한 관리 ID 액세스 권한을 부여하고 작업 영역 Azure Portal 배너에서 활성화 링크를 선택합니다. 활성화가 성공적으로 완료되면 고객 관리형 키로 모든 데이터를 보호할 수 있는 작업 영역을 사용할 준비가 됩니다. 앞에서 설명한 것처럼 활성화를 성공적으로 수행하려면 자격 증명 모음에 삭제 보호를 설정해야 합니다.

이 다이어그램은 작업 영역에 대한 배너의 활성화 링크를 보여 줍니다.

고객 관리형 키 작업 영역 관리

Azure Portal의 암호화 페이지에서 데이터를 암호화하는 데 사용되는 고객 관리형 키를 변경할 수 있습니다. 여기서는 키 식별자를 사용하여 새 키를 선택할 수도 있고, 동일한 하위 지역의 액세스 권한이 있는 Key Vault에서 작업 영역을 선택할 수 있습니다. 이전에 사용한 것과 다른 자격 증명 모음에서 키를 선택하는 경우, 새 자격 증명 모음에 작업 영역 관리 ID "Get", "Wrap" 및 "Unwrap" 권한을 부여합니다. 작업 영역은 새 자격 증명 모음에 대한 액세스의 유효성을 검사하고 작업 영역의 모든 데이터는 새 키로 다시 암호화됩니다.

이 다이어그램은 Azure Portal의 작업 영역 암호화 섹션을 보여 줍니다.

Important

작업 영역의 암호화 키를 변경하는 경우 작업 영역에서 새 키로 바꿀 때까지 이전 키를 유지합니다. 이는 새 키로 다시 암호화되기 전에 이전 키를 사용하여 데이터의 암호를 해독할 수 있도록 하기 위한 것입니다. SQL 풀의 상태(온라인/오프라인)는 CMK(고객 관리형 키) 회전 프로세스에 영향을 주지 않습니다.

  • CMK 회전 중에 오프라인 상태인 SQL 풀은 이전 키 또는 키 버전으로 암호화된 상태로 유지됩니다. 이전 키 또는 키 버전이 비활성화되거나 만료된 경우 암호 해독이 불가능하므로 풀이 다시 시작되지 않습니다. 이러한 풀을 다시 시작하면 이전 키 또는 키 버전은 1)을 사용하도록 설정하고 2) 새 키 또는 키 버전으로 암호 해독 및 후속 다시 암호화를 허용하도록 나중에 만료 날짜를 설정해야 합니다.

  • 원활한 CMK 회전을 보장하려면 프로세스 중에 일부 SQL 풀이 오프라인 상태인 경우 이전 키 또는 키 버전을 계속 사용하도록 설정하고 만료 날짜를 나중에 설정해야 합니다. 이는 오프라인 풀이 성공적으로 다시 시작되고 새 키 또는 키 버전으로 다시 암호화될 때까지 중요합니다.

  • 백업 암호를 해독하는 데 필요할 수 있으므로 이전 키 또는 키 버전을 삭제하지 않는 것이 좋습니다. 대신 모든 SQL 풀이 새 키 또는 키 버전 으로 다시 암호화된 후 이전 키 또는 키 버전을 사용하지 않도록 설정합니다. 이렇게 하면 필요한 경우 이전 백업의 암호를 해독하기 위해 이전 키 또는 키 버전을 계속 사용할 수 있습니다.

키의 자동, 주기적 회전 또는 키 동작에 대한 Azure Key Vault 정책을 통해 새로운 키 버전을 만들 수 있습니다. 작업 영역의 모든 데이터를 최신 버전의 활성 키로 다시 암호화하도록 선택할 수 있습니다. 다시 암호화하기 위해서는 Azure Portal의 키를 임시 키로 변경한 다음 암호화에 사용할 키로 다시 전환합니다. 예를 들어, 동적 키인 Key1의 최신 버전을 사용하여 데이터 암호화를 업데이트하려면 고객 관리형 키 작업 영역을 임시 키인 Key2로 변경합니다. Key2를 사용하여 암호화를 마칠 때까지 기다립니다. 그런 다음, 고객 관리형 키 작업 영역을 다시 Key1로 전환하면 작업 영역의 데이터는 최신 버전의 Key1로 다시 암호화됩니다.

참고 항목

Azure Synapse Analytics는 새로운 키 버전이 만들어질 때 자동으로 데이터를 다시 암호화하지 않습니다. 작업 영역의 일관성 보장하려면 위에서 설명한 프로세스대로 데이터를 다시 암호화해야 합니다.

서비스 관리형 키를 사용한 SQL 투명한 데이터 암호화

TDE(SQL 투명한 데이터 암호화)는 이중 암호화에 사용하도록 설정되지 않은 작업 영역의 전용 SQL 풀에 사용할 수 있습니다. 이와 같은 형식의 작업 영역에서 서비스 관리형 키를 사용하여 전용 SQL 풀의 데이터에 이중 암호화를 제공합니다. 서비스 관리형 키로 TDE는 전용 SQL 풀에 대해 암호화를 사용하거나 사용하지 않도록 설정할 수 있습니다.

Azure SQL Database 및 Azure Synapse용 cmdlet

PowerShell을 통해 TDE를 구성하려면 Azure 소유자, 참가자 또는 SQL 보안 관리자로 연결되어 있어야 합니다.

Azure Synapse 작업 영역에 대해 다음 cmdlet을 사용합니다.

cmdlet 설명
Set-AzSynapseSqlPoolTransparentDataEncryption SQL 풀에 대한 투명한 데이터 암호화를 사용하거나 사용하지 않도록 설정합니다.
Get-AzSynapseSqlPoolTransparentDataEncryption SQL 풀에 대한 투명한 데이터 암호화 상태를 가져옵니다.
New-AzSynapseWorkspaceKey 작업 영역에 Key Vault 키를 추가합니다.
Get-AzSynapseWorkspaceKey 작업 영역에 대한 Key Vault 키를 가져옵니다.
Update-AzSynapseWorkspace 작업 영역에 대한 투명한 데이터 암호화 보호기를 설정합니다.
Get-AzSynapseWorkspace 투명한 데이터 암호화 보호기를 가져옵니다.
Remove-AzSynapseWorkspaceKey 작업 영역에서 Key Vault 키를 제거합니다.