Delen via


Gegevensexfiltratiebeveiliging voor Azure Synapse Analytics-werkruimten

Azure Synapse Analytics-werkruimten ondersteunen gegevensexfiltratiebeveiliging voor werkruimten. Met exfiltratiebeveiliging kunt u bescherming bieden tegen kwaadwillende insiders die toegang hebben tot uw Azure-resources en gevoelige gegevens exfiltreren naar locaties buiten het bereik van uw organisatie.

Gegevens die uitgaan van Synapse-werkruimten beveiligen

Wanneer u de werkruimte maakt, kunt u deze configureren met een beheerd virtueel netwerk en extra beveiliging tegen gegevensexfiltratie. Wanneer een werkruimte wordt gemaakt met een beheerd virtueel netwerk, worden gegevensintegratie en Spark-resources geïmplementeerd in het beheerde virtuele netwerk. De toegewezen SQL-pools en serverloze SQL-pools van de werkruimte hebben multitenant-mogelijkheden en moeten daarom buiten het beheerde virtuele netwerk bestaan.

Voor werkruimten met gegevensexfiltratiebeveiliging communiceren resources binnen het beheerde virtuele netwerk altijd via beheerde privé-eindpunten. Wanneer gegevensexfiltratiebeveiliging is ingeschakeld, kunnen Synapse SQL-resources verbinding maken met en query's uitvoeren op geautoriseerde Azure Storage met behulp van OPENROWSETS of EXTERNAL TABLE. Gegevensexfiltratiebeveiliging beheert geen inkomend verkeer.

Gegevensexfiltratiebeveiliging beheert echter uitgaand verkeer. CREATE EXTERNAL TABLE AS SELECT of using ERRORFILE argument in COPY INTO command to output data to the external storage account are blocked. Daarom moet u een beheerd privé-eindpunt maken voor het doelopslagaccount om het uitgaande verkeer naar het account te deblokkeren.

Notitie

U kunt de werkruimteconfiguratie voor beheerde virtuele netwerken en gegevensexfiltratiebeveiliging niet wijzigen nadat de werkruimte is gemaakt.

Uitgaand verkeer van Synapse-werkruimtegegevens beheren naar goedgekeurde doelen

Nadat de werkruimte is gemaakt met beveiliging tegen gegevensexfiltratie ingeschakeld, kunnen de eigenaren van de werkruimteresource de lijst met goedgekeurde Microsoft Entra-tenants voor de werkruimte beheren. Gebruikers met de juiste machtigingen voor de werkruimte kunnen Synapse Studio gebruiken om verbindingsaanvragen voor beheerde privé-eindpunten te maken voor resources in de goedgekeurde Microsoft Entra-tenants van de werkruimte. Het maken van een beheerd privé-eindpunt wordt geblokkeerd als de gebruiker probeert een privé-eindpuntverbinding te maken met een resource in een niet-goedgekeurde tenant.

Voorbeeldwerkruimte waarvoor gegevensexfiltratiebeveiliging is ingeschakeld

Bekijk het volgende voorbeeld met gegevensexfiltratiebeveiliging voor Synapse-werkruimten. Een bedrijf met de naam Contoso heeft Azure-resources in tenant A en tenant B en er is behoefte aan deze resources om veilig verbinding te maken. Er is een Synapse-werkruimte gemaakt in Tenant A met Tenant B toegevoegd als een goedgekeurde Microsoft Entra-tenant.

In het volgende diagram ziet u privé-eindpuntverbindingen met Azure Storage-accounts in Tenant A en Tenant B die worden goedgekeurd door de eigenaren van het opslagaccount. In het diagram staat ook dat het maken van een privé-eindpunt is geblokkeerd. Het maken van dit privé-eindpunt is geblokkeerd omdat het gericht was op een Azure Storage-account in de Fabrikam Microsoft Entra-tenant, dat geen goedgekeurde Microsoft Entra-tenant is voor de werkruimte van Contoso.

Diagram waarin wordt getoond hoe gegevensexfiltratiebeveiliging wordt geïmplementeerd voor Synapse-werkruimten.

Belangrijk

Resources in andere tenants dan de tenant van de werkruimte mogen geen firewallregels hebben die de verbinding met de SQL-pools blokkeren. Resources binnen het beheerde virtuele netwerk van de werkruimte, zoals Spark-clusters, kunnen via beheerde privékoppelingen verbinding maken met met firewall beveiligde resources.