Předdefinované definice služby Azure Policy pro Azure Synapse Analytics
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Synapse. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure Synapse
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
Auditování v pracovním prostoru Synapse by mělo být povolené. | Auditování pracovního prostoru Synapse by mělo být povolené ke sledování databázových aktivit ve všech databázích ve vyhrazených fondech SQL a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
Vyhrazené fondy SQL služby Azure Synapse Analytics by měly povolit šifrování. | Povolení transparentního šifrování dat pro vyhrazené fondy SQL služby Azure Synapse Analytics za účelem ochrany neaktivních uložených dat a splnění požadavků na dodržování předpisů Upozorňujeme, že povolení transparentního šifrování dat pro fond může mít vliv na výkon dotazů. Další podrobnosti můžou odkazovat na https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, zakázáno | 1.0.0 |
SQL Server pracovního prostoru Azure Synapse by měl používat protokol TLS verze 1.2 nebo novější. | Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajistíte, že k SQL serveru pracovního prostoru Azure Synapse bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, Odepřít, Zakázáno | 1.1.0 |
Pracovní prostory Azure Synapse by měly umožňovat odchozí přenos dat pouze schváleným cílům. | Zvyšte zabezpečení pracovního prostoru Synapse tím, že povolíte odchozí přenos dat jenom schváleným cílům. To pomáhá předejít exfiltraci dat tím, že před odesláním dat ověřuje cíl. | Audit, Zakázáno, Odepřít | 1.0.0 |
Pracovní prostory Azure Synapse by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostor Synapse není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení pracovních prostorů Synapse. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Odepřít, Zakázáno | 1.0.0 |
Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. | Audit, Odepřít, Zakázáno | 1.0.0 |
Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
Konfigurace vyhrazené verze protokolu TLS pracovního prostoru Azure Synapse | Zákazníci můžou zvýšit nebo snížit minimální verzi protokolu TLS pomocí rozhraní API pro nové pracovní prostory Synapse nebo existující pracovní prostory. Uživatelé, kteří potřebují používat nižší verzi klienta v pracovních prostorech, se můžou připojit, zatímco uživatelé, kteří mají požadavek na zabezpečení, můžou zvýšit minimální verzi protokolu TLS. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Upravit, zakázáno | 1.1.0 |
Konfigurace pracovních prostorů Azure Synapse pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro váš pracovní prostor Synapse, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Upravit, zakázáno | 1.0.0 |
Konfigurace pracovních prostorů Azure Synapse s využitím privátních koncových bodů | Privátní koncové body připojují vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů do pracovních prostorů Azure Synapse můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace Microsoft Defenderu pro SQL pro povolení v pracovních prostorech Synapse | Povolte v pracovních prostorech Azure Synapse Microsoft Defender for SQL a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím SQL nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace pracovních prostorů Synapse tak, aby byly povolené auditování | Aby se zajistilo, že se zaznamenávají operace s vašimi prostředky SQL, měly by pracovní prostory Synapse mít povolené auditování. To se někdy vyžaduje pro dodržování regulačních standardů. | DeployIfNotExists, zakázáno | 2.0.0 |
Konfigurace pracovních prostorů Synapse tak, aby byly povolené auditování v pracovním prostoru služby Log Analytics | Aby se zajistilo, že se zaznamenávají operace s vašimi prostředky SQL, měly by pracovní prostory Synapse mít povolené auditování. Pokud auditování není povolené, tato zásada nakonfiguruje události auditování tak, aby proudily do zadaného pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace pracovních prostorů Synapse tak, aby pro ověřování používaly pouze identity Microsoft Entra | Vyžadovat a překonfigurovat pracovní prostory Synapse tak, aby používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření pracovních prostorů s povoleným místním ověřováním. Brání povolení místního ověřování a opětovné povolení ověřování Microsoft Entra-only u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Upravit, zakázáno | 1.0.0 |
Konfigurace pracovních prostorů Synapse tak, aby při vytváření pracovního prostoru používaly pouze identity Microsoft Entra pro ověřování | Vyžadovat a překonfigurovat pracovní prostory Synapse tak, aby se vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Upravit, zakázáno | 1.2.0 |
Povolení protokolování podle skupiny kategorií pro fondy Apache Sparku (microsoft.synapse/workspaces/bigdatapools) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro fondy Apache Sparku (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro fondy Apache Sparku (microsoft.synapse/workspaces/bigdatapools) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro fondy Apache Sparku (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro fondy Apache Sparku (microsoft.synapse/workspaces/bigdatapools) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro fondy Apache Sparku (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro Azure Synapse Analytics (microsoft.synapse/workspaces) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro Azure Synapse Analytics (microsoft.synapse/workspaces) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro Azure Synapse Analytics (microsoft.synapse/workspaces) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro vyhrazené fondy SQL (microsoft.synapse/workspaces/sqlpools) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro vyhrazené fondy SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro vyhrazené fondy SQL (microsoft.synapse/workspaces/sqlpools) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro vyhrazené fondy SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro vyhrazené fondy SQL (microsoft.synapse/workspaces/sqlpools) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro vyhrazené fondy SQL (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro microsoft.synapse/workspaces/kustopools do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro microsoft.synapse/workspaces/kustopools do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro microsoft.synapse/workspaces/kustopools do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro fondy SCOPE (microsoft.synapse/workspaces/scopepools) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro fondy SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro fondy SCOPE (microsoft.synapse/workspaces/scopepools) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro fondy SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Povolení protokolování podle skupiny kategorií pro fondy SCOPE (microsoft.synapse/workspaces/scopepools) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro fondy SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Pravidla brány firewall protokolu IP v pracovních prostorech Azure Synapse by se měla odebrat. | Odebrání všech pravidel brány firewall protokolu IP zlepšuje zabezpečení tím, že zajišťuje, aby k vašemu pracovnímu prostoru Azure Synapse bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace audituje vytváření pravidel brány firewall, která umožňují přístup k veřejné síti v pracovním prostoru. | Audit, zakázáno | 1.0.0 |
Měla by být povolena virtuální síť spravovaného pracovního prostoru v pracovních prostorech Azure Synapse. | Povolením virtuální sítě spravovaného pracovního prostoru zajistíte, že je váš pracovní prostor izolovaný od jiných pracovních prostorů. Integrace dat a prostředky Sparku nasazené v této virtuální síti také poskytují izolaci na úrovni uživatele pro aktivity Sparku. | Audit, Odepřít, Zakázáno | 1.0.0 |
U nechráněných pracovních prostorů Synapse by měl být povolený Microsoft Defender pro SQL. | Povolte Defender for SQL k ochraně pracovních prostorů Synapse. Defender for SQL monitoruje synapse SQL a zjišťuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.0 |
Privátní koncové body spravované službou Synapse by se měly připojovat jenom k prostředkům ve schválených tenantech Azure Active Directory. | Chraňte pracovní prostor Synapse tím, že povolíte připojení jenom k prostředkům ve schválených tenantech Azure Active Directory (Azure AD). Schválené tenanty Azure AD je možné definovat během přiřazování zásad. | Audit, Zakázáno, Odepřít | 1.0.0 |
Nastavení auditování pracovního prostoru Synapse by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. | Aby se zajistilo, že protokoly auditu jsou co nejdůkladnější, musí vlastnost AuditActionsAndGroups obsahovat všechny relevantní skupiny. Doporučujeme přidat aspoň SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP a BATCH_COMPLETED_GROUP. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 1.0.0 |
Pracovní prostory Synapse by měly mít povolené ověřování pouze Microsoft Entra. | Vyžadovat, aby pracovní prostory Synapse používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření pracovních prostorů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.0.0 |
Pracovní prostory Synapse by měly při vytváření pracovního prostoru používat pouze identity Microsoft Entra pro ověřování. | Vyžadovat, aby se pracovní prostory Synapse vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.2.0 |
Pracovní prostory Synapse s auditem SQL do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyšším | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL pracovního prostoru Synapse na cíl účtu úložiště alespoň na 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 2.0.0 |
V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. | Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse | AuditIfNotExists, zakázáno | 1.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.