Gegevensexfiltratiebeveiliging voor Azure Synapse Analytics-werkruimten
Azure Synapse Analytics-werkruimten ondersteunen gegevensexfiltratiebeveiliging voor werkruimten. Met exfiltratiebeveiliging kunt u bescherming bieden tegen kwaadwillende insiders die toegang hebben tot uw Azure-resources en gevoelige gegevens exfiltreren naar locaties buiten het bereik van uw organisatie.
Gegevens die uitgaan van Synapse-werkruimten beveiligen
Wanneer u de werkruimte maakt, kunt u deze configureren met een beheerd virtueel netwerk en extra beveiliging tegen gegevensexfiltratie. Wanneer een werkruimte wordt gemaakt met een beheerd virtueel netwerk, worden gegevensintegratie en Spark-resources geïmplementeerd in het beheerde virtuele netwerk. De toegewezen SQL-pools en serverloze SQL-pools van de werkruimte hebben multitenant-mogelijkheden en moeten daarom buiten het beheerde virtuele netwerk bestaan.
Voor werkruimten met gegevensexfiltratiebeveiliging communiceren resources binnen het beheerde virtuele netwerk altijd via beheerde privé-eindpunten. Wanneer gegevensexfiltratiebeveiliging is ingeschakeld, kunnen Synapse SQL-resources verbinding maken met en query's uitvoeren op geautoriseerde Azure Storage met behulp van OPENROWSETS of EXTERNAL TABLE. Gegevensexfiltratiebeveiliging beheert geen inkomend verkeer.
Gegevensexfiltratiebeveiliging beheert echter uitgaand verkeer. CREATE EXTERNAL TABLE AS SELECT of using ERRORFILE argument in COPY INTO command to output data to the external storage account are blocked. Daarom moet u een beheerd privé-eindpunt maken voor het doelopslagaccount om het uitgaande verkeer naar het account te deblokkeren.
Notitie
U kunt de werkruimteconfiguratie voor beheerde virtuele netwerken en gegevensexfiltratiebeveiliging niet wijzigen nadat de werkruimte is gemaakt.
Uitgaand verkeer van Synapse-werkruimtegegevens beheren naar goedgekeurde doelen
Nadat de werkruimte is gemaakt met beveiliging tegen gegevensexfiltratie ingeschakeld, kunnen de eigenaren van de werkruimteresource de lijst met goedgekeurde Microsoft Entra-tenants voor de werkruimte beheren. Gebruikers met de juiste machtigingen voor de werkruimte kunnen Synapse Studio gebruiken om verbindingsaanvragen voor beheerde privé-eindpunten te maken voor resources in de goedgekeurde Microsoft Entra-tenants van de werkruimte. Het maken van een beheerd privé-eindpunt wordt geblokkeerd als de gebruiker probeert een privé-eindpuntverbinding te maken met een resource in een niet-goedgekeurde tenant.
Voorbeeldwerkruimte waarvoor gegevensexfiltratiebeveiliging is ingeschakeld
Bekijk het volgende voorbeeld met gegevensexfiltratiebeveiliging voor Synapse-werkruimten. Een bedrijf met de naam Contoso heeft Azure-resources in tenant A en tenant B en er is behoefte aan deze resources om veilig verbinding te maken. Er is een Synapse-werkruimte gemaakt in Tenant A met Tenant B toegevoegd als een goedgekeurde Microsoft Entra-tenant.
In het volgende diagram ziet u privé-eindpuntverbindingen met Azure Storage-accounts in Tenant A en Tenant B die worden goedgekeurd door de eigenaren van het opslagaccount. In het diagram staat ook dat het maken van een privé-eindpunt is geblokkeerd. Het maken van dit privé-eindpunt is geblokkeerd omdat het gericht was op een Azure Storage-account in de Fabrikam Microsoft Entra-tenant, dat geen goedgekeurde Microsoft Entra-tenant is voor de werkruimte van Contoso.
Belangrijk
Resources in andere tenants dan de tenant van de werkruimte mogen geen firewallregels hebben die de verbinding met de SQL-pools blokkeren. Resources binnen het beheerde virtuele netwerk van de werkruimte, zoals Spark-clusters, kunnen via beheerde privékoppelingen verbinding maken met met firewall beveiligde resources.
Gerelateerde inhoud
- Een werkruimte maken waarvoor gegevensexfiltratiebeveiliging is ingeschakeld
- Beheerd virtueel netwerk van Azure Synapse Analytics
- Door Azure Synapse Analytics beheerde privé-eindpunten
- Create a Managed private endpoint to your data source (Een beheerd privé-eindpunt naar uw gegevensbron maken)