Защита от кражи данных в рабочих областях Azure Synapse Analytics
Рабочие области Azure Synapse Analytics поддерживают защиту от кражи данных для рабочих областей. Защита от кражи данных предотвращает вывод конфиденциальных сведений за пределы организации внутренними злоумышленниками, у которых есть доступ к вашим ресурсам Azure.
Защита исходящих данных из рабочих областей Synapse
При создании рабочей области вы можете добавить в нее управляемую виртуальную сеть и дополнительную защиту от кражи данных. При создании рабочей области с управляемой виртуальной сетью ресурсы интеграции данных и Spark развертываются в управляемой виртуальной сети. Выделенные пулы SQL рабочей области и бессерверные пулы SQL имеют мультитенантные возможности, и поэтому необходимо существовать вне управляемой виртуальной сети.
Для рабочих областей с защитой от кражи данных ресурсы в управляемой виртуальной сети всегда взаимодействуют через управляемые частные конечные точки. Если включена защита от кражи данных, ресурсы Synapse SQL могут подключаться и запрашивать любые авторизованные служба хранилища Azure с помощью OPENROWSETS или EXTERNAL TABLE. Защита от кражи данных не управляет трафиком входящего трафика.
Однако защита от кражи данных управляет исходящим трафиком. Например, СОЗДАНИЕ ВНЕШНЕЙ ТАБЛИЦЫ AS SELECT или использование аргумента ERRORFILE в команде COPY INTO для вывода данных во внешнюю учетную запись хранения блокируются. Поэтому необходимо создать управляемую частную конечную точку для целевой учетной записи хранения, чтобы разблокировать исходящий трафик к нему.
Примечание.
Вы не можете изменить конфигурацию рабочей области для управляемой виртуальной сети и защиты от кражи данных после создания рабочей области.
Управление исходящими данными рабочей области Synapse в утвержденные целевые объекты
После создания рабочей области с включенной защитой от кражи данных владельцы ресурса рабочей области могут управлять списком утвержденных клиентов Microsoft Entra для рабочей области. Пользователи с правильными разрешениями в рабочей области могут использовать Synapse Studio для создания запросов на подключение управляемых частных конечных точек к ресурсам в утвержденных клиентах Microsoft Entra рабочей области. Создание управляемой частной конечной точки блокируется, если пользователь пытается создать подключение частной конечной точки к ресурсу в неутвержденном клиенте.
Пример рабочей области с включенной защитой от кражи данных
Рассмотрим следующий пример, демонстрирующий защиту от кражи данных для рабочих областей Synapse. Компания, называемая Contoso, имеет ресурсы Azure в клиенте A и клиентЕ B, и для безопасного подключения этих ресурсов требуется. Рабочая область Synapse была создана в клиенте A с клиентом B, добавленным в качестве утвержденного клиента Microsoft Entra.
На следующей схеме показаны подключения частной конечной точки к учетным записям служба хранилища Azure в клиенте A и клиенте B, утвержденных владельцами учетных записей хранения. На схеме также показано заблокированное создание частной конечной точки. Создание этой частной конечной точки было заблокировано, так как она нацелена на учетную запись служба хранилища Azure в клиенте Fabrikam Microsoft Entra, который не является утвержденным клиентом Microsoft Entra для рабочей области Contoso.
Внимание
Ресурсы в клиентах, отличных от клиента рабочей области, не должны иметь правила брандмауэра, которые блокируют подключение к пулам SQL. Ресурсы в управляемой виртуальной сети рабочей области, такие как кластеры Spark, могут подключаться через управляемые частные каналы к защищенным брандмауэром ресурсам.