Partilhar via


Linha de base de segurança do Azure para o Azure Synapse Analytics

Esta linha de base de segurança aplica orientações da versão 1.0 da referência de segurança da cloud da Microsoft ao Azure Synapse Analytics. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Synapse Analytics.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Azure Synapse Analytics foram excluídas. Para ver como o Azure Synapse Analytics mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança do Azure Synapse Analytics.

Perfil de segurança

O perfil de segurança resume comportamentos de elevado impacto do Azure Synapse Analytics, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Análise
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: quando cria a área de trabalho Azure Synapse, pode optar por associá-la a um Rede Virtual do Microsoft Azure. O Rede Virtual associado à área de trabalho é gerido por Azure Synapse. Esta Rede Virtual é denominada área de trabalho gerida Rede Virtual.

Referência: Rede Virtual Gerido do Azure Synapse Analytics

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.

Referência: Rede Virtual Gerido do Azure Synapse Analytics

NS-2: Proteger os serviços cloud com controlos de rede

Funcionalidades

Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.

Referência: Hubs Azure Synapse Private Link

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: para além do botão de alternar "Desativar Acesso à Rede Pública", as regras de firewall ao nível do serviço podem ser configuradas.

Para obter mais informações, veja: regras de firewall de IP do armazém de dados do Azure Synapse Analytics

Orientação de Configuração: desative o acesso à rede pública através da regra de filtragem da ACL de IP ao nível do serviço ou de um comutador de alternância para acesso à rede pública.

Referência: definições de conectividade do Azure Synapse Analytics

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Sql:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
SQL do Azure Managed Instances deve desativar o acesso à rede pública Desativar o acesso à rede pública (ponto final público) no SQL do Azure Managed Instances melhora a segurança ao garantir que só podem ser acedidos a partir das respetivas redes virtuais ou através de Pontos Finais Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. Auditoria, Negar, Desativado 1.0.0

Gestão de identidades

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.

IM-1: utilizar a identidade centralizada e o sistema de autenticação

Funcionalidades

Azure AD Autenticação Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: Utilizar a Autenticação do Azure Active Directory para autenticação com o SQL do Synapse

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: Autenticação SQL no Azure Synapse Analytics

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Sql:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Azure Active Directory deve ser aprovisionado para servidores SQL Auditar o aprovisionamento de um administrador do Azure Active Directory para o seu SQL Server para ativar Azure AD autenticação. Azure AD autenticação permite a gestão de permissões simplificada e a gestão centralizada de identidades de utilizadores de bases de dados e outros serviços Microsoft AuditIfNotExists, Desativado 1.0.0

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Identidade gerida para Azure Synapse

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

IM-7: Restringir o acesso a recursos com base nas condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.

Referência: Acesso Condicional no Azure Synapse Analytics

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: pode proteger credenciais com serviços ligados através dos mssparkutils, por exemplo, tirando partido dos segredos armazenados no Key Vault.

Para obter mais informações, visite: Proteger credenciais com serviços ligados com os mssparkutils

Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-1: separar e limitar utilizadores altamente privilegiados/administrativos

Funcionalidades

Contas de Administração Local

Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Orientação de Configuração: se não for necessário para operações administrativas de rotina, desative ou restrinja quaisquer contas de administrador local apenas para utilização de emergência.

Referência: Ligar à autenticação SQL

PA-7: Siga o princípio da administração (mínimo privilégio) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: o RBAC do Azure é suportado para operações de planos de gestão. O RBAC do Synapse é utilizado para o controlo de acesso para operações de planos de dados.

Para obter mais informações, visite: O que é o controlo de acesso baseado em funções do Synapse (RBAC)?

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize ferramentas como o Azure Purview, a Information Protection do Azure e SQL do Azure a Deteção e Classificação de Dados para analisar, classificar e etiquetar centralmente quaisquer dados confidenciais que residam no Azure, no local, no Microsoft 365 ou noutras localizações.

Referência: Deteção e Classificação de Dados para conjuntos de SQL dedicados (anteriormente SQL DW)

DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade da prevenção de perda de dados (DLP), pode utilizar uma solução DLP baseada no anfitrião a partir de Azure Marketplace ou uma solução DLP do Microsoft 365 para impor controlos de detective e/ou preventivos para impedir a exfiltração de dados.

Referência: Advanced Threat Protection for Azure Synapse Analytics

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Sql:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para SQL deve estar ativado para Instâncias Geridas do SQL desprotegidas Audite cada SQL Managed Instance sem segurança de dados avançada. AuditIfNotExists, Desativado 1.0.2

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-4: Ativar a encriptação inativa por predefinição

Funcionalidades

Dados na Encriptação Rest Com Chaves de Plataforma

Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Encriptação para áreas de trabalho do Azure Synapse Analytics

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Sql:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A Encriptação de Dados Transparente nas bases de dados SQL deve estar ativada A encriptação de dados transparente deve ser ativada para proteger os dados inativos e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.

Referência: Encriptação para áreas de trabalho do Azure Synapse Analytics

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Sql:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As instâncias geridas do SQL devem utilizar chaves geridas pelo cliente para encriptar dados inativos Implementar a Encriptação de Dados Transparente (TDE) com a sua própria chave proporciona maior transparência e controlo sobre o Protetor de Encriptação de Dados Transparente, maior segurança com um serviço externo apoiado por HSM e promoção da separação de deveres. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Desativado 2.0.0

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.

Referência: Encriptação para áreas de trabalho do Azure Synapse Analytics

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.

Referência: Políticas Incorporadas - Synapse

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender para Oferta de Serviço/Produto

Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso do plano de gestão. Quando receber um alerta de Microsoft Defender para Key Vault, investigue e responda ao alerta.

Referência: Microsoft Defender para SQL

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Sql:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para SQL deve estar ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, Desativado 2.0.1

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.

Referência: Auditoria da Base de Dados SQL do Azure e do Azure Synapse Analytics

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Cópia de segurança e restauro no Conjunto de SQL dedicado do Azure Synapse

Passos seguintes