Встроенные определения в Политике Azure для Azure Synapse Analytics
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Azure Synapse. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Azure Synapse
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для рабочей области Synapse должен быть включен аудит | Необходимо включить аудит для рабочей области Synapse, чтобы отслеживать действия со всеми базами данных в выделенных пулах SQL и сохранять их в журнал аудита. | AuditIfNotExists, Disabled | 1.0.0 |
Выделенные пулы SQL Azure Synapse Analytics должны включать шифрование | Включите прозрачное шифрование данных для выделенных пулов SQL Azure Synapse Analytics для защиты неактивных данных и соответствия требованиям. Обратите внимание, что включение прозрачного шифрования данных для пула может повлиять на производительность запросов. Дополнительные сведения могут ссылаться на https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
SQL Server рабочей области Azure Synapse должен работать под управлением TLS версии 1.2 или более поздней версии | Задав версию TLS 1.2 или более позднюю, вы усилите защиту, сделав сервер SQL рабочей области Azure Synapse доступным только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Audit, Deny, Disabled | 1.1.0 |
Рабочие области Azure Synapse должны разрешать исходящий трафик только к утвержденным целевым объектам | Повысьте безопасность своей рабочей области Synapse, разрешив исходящий трафик только к утвержденным целевым объектам. Это помогает предотвратить утечки данных благодаря проверке целевых объектов перед отправкой данных. | Audit, Disabled, Deny | 1.0.0 |
Доступ к общедоступной сети должен быть отключен для рабочих областей Azure Synapse | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что рабочая область Synapse не будет представлена в общедоступном Интернете. Создав частные конечные точки, вы можете снизить уязвимость рабочих областей Synapse. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). | Audit, Deny, Disabled | 1.0.0 |
Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Настройка минимальной версии TLS для выделенного SQL рабочей области Azure Synapse | Клиенты могут повышать или понижать минимальную версию TLS с помощью API как для новых рабочих областей Synapse, так и для существующих рабочих областей, так чтобы пользователи, которым необходимо применить более раннюю версию клиента в рабочих областях, также могли подключаться. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modify, Disabled | 1.1.0 |
Настройка отключения доступа к общедоступной сети для рабочих областей Azure Synapse | Отключите доступ к общедоступной сети для своей рабочей области Synapse, чтобы она не была доступна через общедоступную сеть Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modify, Disabled | 1.0.0 |
Настройка частных конечных точек для рабочих областей Azure Synapse | Частные конечные точки подключают виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставив частные конечные точки с рабочими областями Azure Synapse можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка включения Microsoft Defender для SQL в рабочих областях Synapse | Включите Microsoft Defender для SQL в рабочих областях Azure Synapse для обнаружения подозрительной активности, указывающей на необычные и потенциально вредоносные попытки доступа к базам данных SQL и их использования. | DeployIfNotExists, Disabled | 1.0.0 |
Для рабочих областей Synapse должен быть настроен аудит | Чтобы реализовать сбор данных об операциях с ресурсами SQL, для рабочих областей Synapse необходимо включить аудит. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | DeployIfNotExists, Disabled | 2.0.0 |
Настройте рабочие области Synapse для включения аудита в рабочей области Log Analytics | Чтобы реализовать сбор данных об операциях с ресурсами SQL, для рабочих областей Synapse необходимо включить аудит. Если аудит не включен, эта политика настроит события аудита, чтобы направить их потоки в указанную рабочую область Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка рабочих областей Synapse для использования только удостоверений Microsoft Entra для проверки подлинности | Требовать и перенастраивать рабочие области Synapse для использования проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. Он блокирует включение локальной проверки подлинности и повторно включает проверку подлинности только для Microsoft Entra на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Modify, Disabled | 1.0.0 |
Настройка рабочих областей Synapse для использования только удостоверений Microsoft Entra для проверки подлинности во время создания рабочей области | Требовать и перенастраивать рабочие области Synapse для создания с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Modify, Disabled | 1.2.0 |
Включение ведения журнала по группе категорий для пулов Apache Spark (microsoft.synapse/workspaces/bigdatapools) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для пулов Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группам категорий для пулов Apache Spark (microsoft.synapse/workspaces/bigdatapools) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для пулов Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для пулов Apache Spark (microsoft.synapse/workspaces/bigdatapools) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения пулов Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для Azure Synapse Analytics (microsoft.synapse/workspaces) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий Для Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для Azure Synapse Analytics (microsoft.synapse/workspaces) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для Azure Synapse Analytics (microsoft.synapse/workspaces) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для выделенных пулов SQL (microsoft.synapse/workspaces/sqlpools) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для выделенных пулов SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для выделенных пулов SQL (microsoft.synapse/workspaces/sqlpools) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для выделенных пулов SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для выделенных пулов SQL (microsoft.synapse/workspaces/sqlpools) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для выделенных пулов SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для microsoft.synapse/workspaces/kustopools в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для microsoft.synapse/workspaces/kustopools в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для microsoft.synapse/workspaces/kustopools в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для пулов SCOPE (microsoft.synapse/workspaces/scopepools) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий для пулов SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для пулов SCOPE (microsoft.synapse/workspaces/scopepools) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для пулов SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Включение ведения журнала по группе категорий для пулов SCOPE (microsoft.synapse/workspaces/scopepools) в хранилище | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения для пулов SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Правила брандмауэра для IP-адресов в рабочих областях Azure Synapse должны быть удалены | Удаление всех правил брандмауэра для IP-адресов повышает уровень безопасности, обеспечивая доступ к рабочей области Azure Synapse только из частной конечной точки. Эта конфигурация выполняет аудит создания правил брандмауэра, которые разрешают доступ к общедоступной сети в рабочей области. | Audit, Disabled | 1.0.0 |
Управляемая виртуальная сеть рабочей области в рабочих областях Azure Synapse должна быть включена | Включение управляемой виртуальной сети рабочей области гарантирует, что ваша рабочая область будет изолирована от других областей. Интеграции данных и ресурсы Spark, развернутые в этой виртуальной сети, также обеспечивают изоляцию на уровне пользователей для действий Spark. | Audit, Deny, Disabled | 1.0.0 |
Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | AuditIfNotExists, Disabled | 1.0.0 |
Управляемые частные конечные точки Synapse должны подключаться только к ресурсам в утвержденных клиентах Azure Active Directory | Защитите рабочую область Synapse, разрешив подключения только к ресурсам утвержденных клиентов Azure Active Directory. Утвержденные клиенты Azure AD можно определить во время назначения политики. | Audit, Disabled, Deny | 1.0.0 |
В параметрах аудита рабочей области Synapse должны быть настроены группы для регистрации критических действий | Чтобы сделать журналы аудита максимально подробными, включите в свойство AuditActionsAndGroups все соответствующие группы. Рекомендуем добавить по меньшей мере группы SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 1.0.0 |
Для рабочих областей Synapse должна быть включена проверка подлинности только для Microsoft Entra | Требовать, чтобы рабочие области Synapse использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
Рабочие области Synapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области | Требовать создание рабочих областей Synapse с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
Для рабочих областей Synapse с аудитом SQL в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL рабочих областей Synapse в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 2.0.0 |
В рабочих областях Synapse должна быть включена оценка уязвимостей | Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.