Definições internas da Política do Azure para o Azure Synapse Analytics
Esta página é um índice das definições de política internas da Política do Azure para o Azure Synapse. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Azure Synapse
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A auditoria no espaço de trabalho Synapse deve ser habilitada | A auditoria em seu espaço de trabalho Synapse deve ser habilitada para rastrear atividades de banco de dados em todos os bancos de dados nos pools SQL dedicados e salvá-los em um log de auditoria. | AuditIfNotExists, desativado | 1.0.0 |
Os pools SQL dedicados do Azure Synapse Analytics devem habilitar a criptografia | Habilite a criptografia de dados transparente para pools SQL dedicados do Azure Synapse Analytics para proteger dados em repouso e atender aos requisitos de conformidade. Observe que habilitar a criptografia de dados transparente para o pool pode afetar o desempenho da consulta. Mais detalhes podem referir-se a: https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, desativado | 1.0.0 |
Azure Synapse Workspace SQL Server deve estar executando TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente melhora a segurança, garantindo que o servidor SQL do espaço de trabalho do Azure Synapse só possa ser acessado a partir de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, Negar, Desativado | 1.1.0 |
Os espaços de trabalho do Azure Synapse devem permitir o tráfego de dados de saída apenas para destinos aprovados | Aumente a segurança do seu espaço de trabalho Synapse, permitindo o tráfego de dados de saída apenas para alvos aprovados. Isso ajuda na prevenção contra a exfiltração de dados, validando o destino antes de enviar dados. | Auditar, Desabilitar, Negar | 1.0.0 |
Os espaços de trabalho do Azure Synapse devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o espaço de trabalho Synapse não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de seus espaços de trabalho Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Auditoria, Negar, Desativado | 1.0.0 |
Os espaços de trabalho do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos espaços de trabalho do Azure Synapse. As chaves gerenciadas pelo cliente oferecem criptografia dupla adicionando uma segunda camada de criptografia sobre a criptografia padrão com chaves gerenciadas por serviço. | Auditoria, Negar, Desativado | 1.0.0 |
Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
Configurar o Azure Synapse Workspace Versão mínima TLS SQL dedicada | Os clientes podem aumentar ou diminuir a versão mínima do TLS usando a API, tanto para novos espaços de trabalho Synapse quanto para espaços de trabalho existentes. Assim, os usuários que precisam usar uma versão de cliente inferior nos espaços de trabalho podem se conectar, enquanto os usuários que têm requisitos de segurança podem aumentar a versão mínima do TLS. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Desativado | 1.1.0 |
Configurar espaços de trabalho do Azure Synapse para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu espaço de trabalho Synapse para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Desativado | 1.0.0 |
Configurar espaços de trabalho do Azure Synapse com pontos de extremidade privados | Pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Synapse, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Microsoft Defender para SQL para ser habilitado em espaços de trabalho Synapse | Habilite o Microsoft Defender for SQL em seus espaços de trabalho do Azure Synapse para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados SQL. | DeployIfNotExists, desativado | 1.0.0 |
Configurar espaços de trabalho Synapse para que a auditoria esteja habilitada | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os espaços de trabalho Synapse devem ter a auditoria habilitada. Isso às vezes é necessário para a conformidade com as normas regulamentares. | DeployIfNotExists, desativado | 2.0.0 |
Configurar espaços de trabalho Synapse para que a auditoria seja habilitada para o espaço de trabalho do Log Analytics | Para garantir que as operações executadas em seus ativos SQL sejam capturadas, os espaços de trabalho Synapse devem ter a auditoria habilitada. Se a auditoria não estiver habilitada, essa política configurará os eventos de auditoria para fluir para o espaço de trabalho especificado do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Synapse Workspaces para usar apenas identidades do Microsoft Entra para autenticação | Exigir e reconfigurar o Synapse Workspaces para usar a autenticação somente Microsoft Entra. Esta política não impede que espaços de trabalho sejam criados com a autenticação local ativada. Ele bloqueia a autenticação local de ser habilitada e reativa a autenticação somente Microsoft Entra, em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Modificar, Desativado | 1.0.0 |
Configurar o Synapse Workspaces para usar apenas identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho | Exigir e reconfigurar o Synapse Workspaces a ser criado com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Modificar, Desativado | 1.2.0 |
Habilite o registro por grupo de categorias para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro por grupo de categorias para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro por grupo de categorias para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para pools do Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o log por grupo de categorias para o Azure Synapse Analytics (microsoft.synapse/workspaces) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para o Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para o Azure Synapse Analytics (microsoft.synapse/workspaces) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para o Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para o Azure Synapse Analytics (microsoft.synapse/workspaces) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento do Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para pools SQL dedicados (microsoft.synapse/workspaces/sqlpools) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para pools SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools SQL dedicados (microsoft.synapse/workspaces/sqlpools) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para pools SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools SQL dedicados (microsoft.synapse/workspaces/sqlpools) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para pools SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.synapse/workspaces/kustopools no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para microsoft.synapse/workspaces/kustopools no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.synapse/workspaces/kustopools para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools de ESCOPO (microsoft.synapse/workspaces/scopepools) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para pools de ESCOPO (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para pools SCOPE (microsoft.synapse/workspaces/scopepools) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para pools de ESCOPO (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para pools SCOPE (microsoft.synapse/workspaces/scopepools) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para pools SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
As regras de firewall IP nos espaços de trabalho do Azure Synapse devem ser removidas | A remoção de todas as regras de firewall IP melhora a segurança, garantindo que seu espaço de trabalho do Azure Synapse só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração audita a criação de regras de firewall que permitem o acesso à rede pública no espaço de trabalho. | Auditoria, Desativado | 1.0.0 |
A rede virtual do espaço de trabalho gerenciado nos espaços de trabalho do Azure Synapse deve ser habilitada | Habilitar uma rede virtual de espaço de trabalho gerenciado garante que seu espaço de trabalho seja isolado de outros espaços de trabalho. A integração de dados e os recursos do Spark implantados nessa rede virtual também fornecem isolamento no nível do usuário para as atividades do Spark. | Auditoria, Negar, Desativado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado para espaços de trabalho Synapse desprotegidos | Habilite o Defender for SQL para proteger seus espaços de trabalho Synapse. O Defender for SQL monitora seu Synapse SQL para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desativado | 1.0.0 |
Os pontos de extremidade privados gerenciados pela Synapse só devem se conectar a recursos em locatários aprovados do Azure Ative Directory | Proteja seu espaço de trabalho Synapse permitindo apenas conexões com recursos em locatários aprovados do Azure Ative Directory (Azure AD). Os locatários aprovados do Azure AD podem ser definidos durante a atribuição de política. | Auditar, Desabilitar, Negar | 1.0.0 |
As configurações de auditoria do espaço de trabalho Synapse devem ter grupos de ação configurados para capturar atividades críticas | Para garantir que seus logs de auditoria sejam tão completos quanto possível, a propriedade AuditActionsAndGroups deve incluir todos os grupos relevantes. Recomendamos adicionar pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 1.0.0 |
Os espaços de trabalho Synapse devem ter a autenticação somente Microsoft Entra-habilitada | Exija que o Synapse Workspaces use a autenticação somente do Microsoft Entra. Esta política não impede que espaços de trabalho sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.0.0 |
Os espaços de trabalho Synapse devem usar apenas identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho | Exija que os espaços de trabalho Synapse sejam criados com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.2.0 |
Os espaços de trabalho Synapse com auditoria SQL para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria SQL do seu espaço de trabalho Synapse para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 2.0.0 |
A avaliação de vulnerabilidades deve ser ativada em seus espaços de trabalho Synapse | Descubra, rastreie e corrija possíveis vulnerabilidades configurando verificações recorrentes de avaliação de vulnerabilidades SQL em seus espaços de trabalho Synapse. | AuditIfNotExists, desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.