Udostępnij za pośrednictwem


Wbudowane definicje usługi Azure Policy dla usługi Azure Synapse Analytics

Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Synapse. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.

Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.

Azure Synapse

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja w obszarze roboczym usługi Synapse powinna być włączona Inspekcja w obszarze roboczym usługi Synapse powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych w dedykowanych pulach SQL i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 1.0.0
Dedykowane pule SQL usługi Azure Synapse Analytics powinny włączyć szyfrowanie Włącz funkcję Transparent Data Encryption dla dedykowanych pul SQL usługi Azure Synapse Analytics, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności. Należy pamiętać, że włączenie przezroczystego szyfrowania danych dla puli może mieć wpływ na wydajność zapytań. Więcej informacji można znaleźć w temacie https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, Disabled 1.0.0
Program SQL Server obszaru roboczego usługi Azure Synapse powinien mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej Ustawienie wersji protokołu TLS na 1.2 lub nowsze zwiększa bezpieczeństwo, zapewniając, że serwer SQL obszaru roboczego usługi Azure Synapse może być dostępny tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. Inspekcja, Odmowa, Wyłączone 1.1.0
Obszary robocze usługi Azure Synapse powinny zezwalać na ruch wychodzący danych tylko do zatwierdzonych obiektów docelowych Zwiększ bezpieczeństwo obszaru roboczego usługi Synapse, zezwalając na ruch wychodzący danych tylko do zatwierdzonych obiektów docelowych. Pomaga to zapobiegać eksfiltracji danych, sprawdzając cel przed wysłaniem danych. Inspekcja, Wyłączone, Odmowa 1.0.0
Obszary robocze usługi Azure Synapse powinny wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszar roboczy usługi Synapse nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie obszarów roboczych usługi Synapse. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Inspekcja, Odmowa, Wyłączone 1.0.0
Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby kontrolować szyfrowanie danych przechowywanych w obszarach roboczych usługi Azure Synapse. Klucze zarządzane przez klienta zapewniają podwójne szyfrowanie przez dodanie drugiej warstwy szyfrowania na podstawie domyślnego szyfrowania za pomocą kluczy zarządzanych przez usługę. Inspekcja, Odmowa, Wyłączone 1.0.0
Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Inspekcja, wyłączone 1.0.1
Konfigurowanie dedykowanej wersji protokołu TLS w obszarze roboczym usługi Azure Synapse Klienci mogą zgłaszać lub obniżać minimalną wersję protokołu TLS przy użyciu interfejsu API zarówno dla nowych obszarów roboczych usługi Synapse, jak i istniejących obszarów roboczych. Dlatego użytkownicy, którzy muszą używać niższej wersji klienta w obszarach roboczych, mogą się łączyć, podczas gdy użytkownicy, którzy mają wymagania dotyczące zabezpieczeń, mogą podnieść minimalną wersję protokołu TLS. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modyfikowanie, wyłączone 1.1.0
Konfigurowanie obszarów roboczych usługi Azure Synapse w celu wyłączenia dostępu do sieci publicznej Wyłącz dostęp do sieci publicznej dla obszaru roboczego usługi Synapse, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modyfikowanie, wyłączone 1.0.0
Konfigurowanie obszarów roboczych usługi Azure Synapse z prywatnymi punktami końcowymi Prywatne punkty końcowe łączą sieć wirtualną z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Synapse, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie usługi Microsoft Defender for SQL do włączenia w obszarach roboczych usługi Synapse Włącz usługę Microsoft Defender for SQL w obszarach roboczych usługi Azure Synapse, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych SQL lub wykorzystania ich. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie obszarów roboczych usługi Synapse w celu włączenia inspekcji Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, obszary robocze usługi Synapse powinny mieć włączoną inspekcję. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. DeployIfNotExists, Disabled 2.0.0
Konfigurowanie obszarów roboczych usługi Synapse w celu włączenia inspekcji w obszarze roboczym usługi Log Analytics Aby upewnić się, że operacje wykonywane względem zasobów SQL są przechwytywane, obszary robocze usługi Synapse powinny mieć włączoną inspekcję. Jeśli inspekcja nie jest włączona, te zasady skonfigurują zdarzenia inspekcji w celu przepływu do określonego obszaru roboczego usługi Log Analytics. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie obszarów roboczych usługi Synapse do używania tylko tożsamości usługi Microsoft Entra na potrzeby uwierzytelniania Wymagaj i ponownie skonfiguruj obszary robocze usługi Synapse do korzystania z uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia obszarów roboczych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego i ponowne włączenie uwierzytelniania tylko firmy Microsoft w przypadku zasobów po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. Modyfikowanie, wyłączone 1.0.0
Konfigurowanie obszarów roboczych usługi Synapse do używania tylko tożsamości usługi Microsoft Entra na potrzeby uwierzytelniania podczas tworzenia obszaru roboczego Wymagaj i ponownie skonfiguruj obszary robocze usługi Synapse do utworzenia przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. Modyfikowanie, wyłączone 1.2.0
Włączanie rejestrowania według grupy kategorii dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools) do centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools) do usługi Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools) do usługi Storage Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pul platformy Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces) do centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces) w usłudze Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces) do usługi Storage Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla usługi Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools) do centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools) do usługi Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools) do magazynu Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla dedykowanych pul SQL (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla usługi microsoft.synapse/workspaces/kustopools do centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla usługi Microsoft.synapse/workspaces/kustopools w usłudze Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla usługi microsoft.synapse/workspaces/kustopools do usługi Storage Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools) do centrum zdarzeń Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla pul ZAKRES (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools) do usługi Log Analytics Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Włączanie rejestrowania według grupy kategorii dla pul ZAKRES (microsoft.synapse/workspaces/scopepools) do usługi Storage Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla pul ZAKRESU (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Reguły zapory adresów IP w obszarach roboczych usługi Azure Synapse powinny zostać usunięte Usunięcie wszystkich reguł zapory adresów IP zwiększa bezpieczeństwo, zapewniając dostęp do obszaru roboczego usługi Azure Synapse tylko z prywatnego punktu końcowego. Ta konfiguracja przeprowadza inspekcję tworzenia reguł zapory, które zezwalają na dostęp do sieci publicznej w obszarze roboczym. Inspekcja, wyłączone 1.0.0
Należy włączyć zarządzaną sieć wirtualną obszaru roboczego w obszarach roboczych usługi Azure Synapse Włączenie zarządzanej sieci wirtualnej obszaru roboczego gwarantuje, że obszar roboczy jest odizolowany od innych obszarów roboczych. Integracja danych i zasoby platformy Spark wdrożone w tej sieci wirtualnej zapewniają również izolację na poziomie użytkownika dla działań platformy Spark. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse Włącz usługę Defender for SQL, aby chronić obszary robocze usługi Synapse. Usługa Defender for SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.0
Zarządzane prywatne punkty końcowe usługi Synapse powinny łączyć się tylko z zasobami w zatwierdzonych dzierżawach usługi Azure Active Directory Chroń obszar roboczy usługi Synapse, zezwalając tylko na połączenia z zasobami w zatwierdzonych dzierżawach usługi Azure Active Directory (Azure AD). Zatwierdzone dzierżawy usługi Azure AD można zdefiniować podczas przypisywania zasad. Inspekcja, Wyłączone, Odmowa 1.0.0
Ustawienia inspekcji obszaru roboczego usługi Synapse powinny mieć grupy akcji skonfigurowane do przechwytywania krytycznych działań Aby upewnić się, że dzienniki inspekcji są tak dokładne, jak to możliwe, właściwość AuditActionsAndGroups powinna zawierać wszystkie odpowiednie grupy. Zalecamy dodanie co najmniej SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP i BATCH_COMPLETED_GROUP. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 1.0.0
Obszary robocze usługi Synapse powinny mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra Wymagaj, aby obszary robocze usługi Synapse używały uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia obszarów roboczych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. Inspekcja, Odmowa, Wyłączone 1.0.0
Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Microsoft Entra do uwierzytelniania podczas tworzenia obszaru roboczego Wymagaj utworzenia obszarów roboczych usługi Synapse przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. Inspekcja, Odmowa, Wyłączone 1.2.0
Obszary robocze usługi Synapse z inspekcją SQL dla miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji SQL obszaru roboczego usługi Synapse na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 2.0.0
Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse Odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach przez skonfigurowanie cyklicznych skanów oceny luk w zabezpieczeniach SQL w obszarach roboczych usługi Synapse. AuditIfNotExists, Disabled 1.0.0

Następne kroki