Definições internas do Azure Policy para o Azure Synapse Analytics
Esta página é um índice de definições de políticas internas do Azure Policy para o Azure Synapse. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Azure Synapse
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A auditoria no workspace do Azure Synapse deve ser habilitada | A auditoria no workspace do Azure Synapse deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados nos pools de SQL dedicados e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 1.0.0 |
Os pools de SQL dedicados do Azure Synapse Analytics devem a habilitar a criptografia | Habilite a Transparent Data Encryption nos pools de SQL dedicados do Azure Synapse Analytics para proteger os dados inativos e atender aos requisitos de conformidade. Observe que a habilitação da Transparent Data Encryption no pool pode afetar o desempenho da consulta. Veja mais detalhes em https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, desabilitado | 1.0.0 |
O SQL Server do workspace do Azure Synapse deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que o SQL Server do workspace do Azure Synapse só possa ser acessado por clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Audit, Deny, desabilitado | 1.1.0 |
Os workspaces do Azure Synapse devem permitir tráfego de dados de saída somente para destinos aprovados | Aumente a segurança do seu workspace do Azure Synapse permitindo o tráfego de dados de saída somente para destinos aprovados. Isso ajuda a prevenir contra a exfiltração dos dados validando o destino antes de enviá-los. | Auditoria, desabilitado, negação | 1.0.0 |
Os workspaces do Azure Synapse devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o workspace do Azure Synapse não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos workspaces do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, desabilitado | 1.0.0 |
Os workspaces do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos workspaces do Azure Synapse. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além da criptografia padrão com chaves gerenciadas pelo serviço. | Audit, Deny, desabilitado | 1.0.0 |
Os workspaces do Azure Synapse devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, desabilitado | 1.0.1 |
Configurar a versão mínima do TLS do SQL Dedicado do workspace do Azure Synapse | Os clientes podem aumentar ou diminuir a versão mínima do TLS usando a API, tanto para novos workspaces do Synapse quanto para os existentes. Assim, os usuários que precisam usar uma versão inferior do cliente nos workspaces podem se conectar, enquanto aqueles que tiverem requisitos de segurança podem aumentar a versão mínima do TLS. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Desabilitado | 1.1.0 |
Configurar os workspaces do Azure Synapse para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o workspace do Azure Synapse para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Desabilitado | 1.0.0 |
Configurar workspaces do Azure Synapse com pontos de extremidade privados | Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para workspaces do Azure Synapse, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar o Microsoft Defender para SQL para ser habilitado em workspaces do Azure Synapse | Habilite o Microsoft Defender para SQL nos workspaces do Azure Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados SQL. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar os workspaces do Azure Synapse para a habilitação da auditoria | Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os workspaces do Azure Synapse devem ter a auditoria habilitada. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | DeployIfNotExists, desabilitado | 2.0.0 |
Configurar os workspaces do Synapse para que a auditoria seja habilitada no workspace do Log Analytics | Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os workspaces do Azure Synapse devem ter a auditoria habilitada. Quando a auditoria não está habilitada, essa política configura eventos de auditoria para fluir para o workspace do Log Analytics especificado. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar os espaços de trabalho do Synapse para usar apenas as identidades do Microsoft Entra para autenticação | Exigir e configurar novamente os Espaços de trabalho do Synapse para usar a autenticação somente do Microsoft Entra. Essa política não impede que os espaços de trabalho sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada e habilita novamente a autenticação somente do Microsoft Entra em recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Modificar, Desabilitado | 1.0.0 |
Configurar os Espaços de trabalho do Synapse para usar apenas as identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho | Exigir e reconfigurar os espaços de trabalho do Synapse para serem criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Modificar, Desabilitado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos de pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para o Azure Synapse Analytics (microsoft.synapse/workspaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos do Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para o Azure Synapse Analytics (microsoft.synapse/workspaces) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics do Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para o Azure Synapse Analytics (microsoft.synapse/workspaces) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento do Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de SQL Dedicados (microsoft.synapse/workspaces/sqlpools) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos de pools de SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de SQL Dedicados (microsoft.synapse/workspaces/sqlpools) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de pools de SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de SQL Dedicados (microsoft.synapse/workspaces/sqlpools) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de pools de SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.synapse/workspaces/kustopools no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.synapse/workspaces/kustopools no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.synapse/workspaces/kustopools no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de SCOPE (microsoft.synapse/workspaces/scopepools) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos de pools de SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de SCOPE (microsoft.synapse/workspaces/scopepools) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics de pools de SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de SCOPE (microsoft.synapse/workspaces/scopepools) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de pools de SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
As regras de firewall de IP nos workspaces do Azure Synapse devem ser removidas | A remoção de todas as regras de firewall de IP aprimora a segurança, garantindo que o workspace do Azure Synapse só possa ser acessado em um ponto de extremidade privado. Essa configuração audita a criação de regras de firewall que permitem acesso à rede pública no workspace. | Audit, desabilitado | 1.0.0 |
A rede virtual do workspace gerenciado nos workspaces do Azure Synapse deve ser habilitada | A habilitação de uma rede virtual de workspace gerenciado garante que o seu workspace seja isolado da rede de outros workspaces. A integração de dados e os recursos do Spark implantados nessa rede virtual também fornecem isolamento no nível do usuário para atividades do Spark. | Audit, Deny, desabilitado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado nos workspaces do Azure Synapse desprotegidos | Habilite o Defender para SQL para proteger os workspaces do Azure Synapse. O Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
Os pontos de extremidade privados gerenciados pelo Azure Synapse só devem se conectar aos recursos em locatários aprovados do Azure Active Directory | Proteja seu workspace do Azure Synapse permitindo apenas conexões com recursos em locatários aprovados do Azure AD (Active Directory). Os locatários aprovados do Azure AD podem ser definidos durante a atribuição de política. | Auditoria, desabilitado, negação | 1.0.0 |
As configurações de auditoria do workspace do Azure Synapse devem ter grupos de ações configurados para capturar atividades críticas | Para garantir que os logs de auditoria sejam tão minuciosos quanto possível, a propriedade AuditActionsAndGroups deve incluir todos os grupos relevantes. É recomendável adicionar pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 1.0.0 |
Os Espaços de trabalho do Synapse devem ter a autenticação somente do Microsoft Entra habilitada | Exigir que os workspaces do Synapse usem a autenticação somente do Microsoft Entra. Essa política não impede que workspaces sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Audit, Deny, desabilitado | 1.0.0 |
Os Workspaces do Synapse devem usar apenas as identidades do Microsoft Entra para autenticação durante a criação do workspace | Exigir que workspaces do Synapse sejam criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Audit, Deny, desabilitado | 1.2.0 |
Os workspaces do Azure Synapse com auditoria do SQL para o destino da conta de armazenamento devem ser configurados com uma retenção de 90 dias ou mais | Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL do workspace do Azure Synapse para o destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 2.0.0 |
A avaliação de vulnerabilidade deve ser habilitada em seus workspaces do Azure Synapse | Descubra, acompanhe e corrija potenciais vulnerabilidades configurando verificações de avaliação de vulnerabilidades SQL recorrentes em seus workspaces do Azure Synapse. | AuditIfNotExists, desabilitado | 1.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.