Protezione dall'esfiltrazione di dati per le aree di lavoro di Azure Synapse Analytics

Questo articolo illustra la protezione dall'esfiltrazione di dati in Azure Synapse Analytics

Protezione dei dati in uscita dalle aree di lavoro di Synapse

Le aree di lavoro di Azure Synapse Analytics supportano l'abilitazione della protezione dell'esfiltrazione dei dati per le aree di lavoro. Con la protezione dell'esfiltrazione, è possibile proteggere gli insider malintenzionati che accedono alle risorse di Azure ed esfiltrano dati sensibili verso posizioni esterne all'ambito dell'organizzazione. Al momento della creazione dell'area di lavoro, è possibile scegliere di configurarla con una rete virtuale gestita e una protezione aggiuntiva contro l'esfiltrazione dei dati. Quando si crea un'area di lavoro con una rete virtuale gestita, l'integrazione dei dati e le risorse Spark vengono distribuite nella rete virtuale gestita. I pool SQL dedicati e i pool SQL serverless dell'area di lavoro dispongono di funzionalità multi-tenant e, pertanto, devono esistere all'esterno della rete virtuale gestita. Per le aree di lavoro con protezione dall'esfiltrazione di dati, le risorse nella rete virtuale gestita comunicano sempre tramite endpoint privati gestiti. Quando la protezione dall'esfiltrazione di dati è abilitata, le risorse Synapse SQL possono connettersi a qualsiasi archiviazione di Azure autorizzata ed eseguire query, usando OPENROWSETS o EXTERNAL TABLE, perché il traffico in ingresso non è controllato dalla protezione dall'esfiltrazione di dati. Tuttavia, il traffico in uscita tramite CREATE EXTERNAL TABLE AS SELECT sarà controllato dalla protezione dall'esfiltrazione di dati.

Nota

Non è possibile modificare la configurazione dell'area di lavoro per la rete virtuale gestita e la protezione dall'esfiltrazione di dati dopo la creazione dell'area di lavoro.

Gestione dei dati in uscita dall'area di lavoro di Synapse verso destinazioni approvate

Dopo aver creato l'area di lavoro con protezione dall'esfiltrazione di dati abilitata, i proprietari della risorsa dell'area di lavoro possono gestire l'elenco dei tenant Microsoft Entra approvati per l'area di lavoro. Gli utenti con le autorizzazioni appropriate per l'area di lavoro possono usare Synapse Studio per creare richieste di connessione endpoint privato gestito alle risorse nei tenant Microsoft Entra approvati dell'area di lavoro. La creazione di endpoint privati gestiti verrà bloccata se l'utente tenta di creare una connessione endpoint privato a una risorsa in un tenant non approvato.

Area di lavoro di esempio con protezione dall'esfiltrazione dati abilitata

Per illustrare la protezione dall'esfiltrazione di dati per le aree di lavoro di Azure Synapse si riporta l'esempio seguente. Contoso dispone di risorse di Azure nel tenant A e nel tenant B e queste risorse devono connettersi in modo sicuro. È stata creata un'area di lavoro di Synapse nel tenant A, con il tenant B aggiunto come tenant Microsoft Entra approvato. Il diagramma mostra le connessioni endpoint privato agli account di archiviazione di Azure nel Tenant A e nel Tenant B approvati dai proprietari dell'account di archiviazione. Il diagramma mostra anche la creazione di endpoint privati bloccati. La creazione di questo endpoint privato è stata bloccata perché aveva come destinazione un account di archiviazione di Azure nel tenant Fabrikam Microsoft Entra, che non è un tenant di Microsoft Entra approvato per l'area di lavoro di Contoso.

This diagram shows how data exfiltration protection is implemented for Synapse workspaces

Importante

Le risorse nei tenant diversi dal tenant dell'area di lavoro non devono avere regole del firewall che prevedano blocchi per i pool SQL da connettere. Le risorse all'interno della rete virtuale gestita dell'area di lavoro, ad esempio i cluster Spark, possono connettersi ai collegamenti privati gestiti alle risorse protette dal firewall.

Passaggi successivi

Informazioni su come creare un'area di lavoro con protezione dall'esfiltrazione di dati abilitata

Altre informazioni sulla Rete virtuale dell'area di lavoro gestita

Altre informazioni sugli endpoint privati gestiti

Creare endpoint privati gestiti per le origini dati