تعريفات Azure Policy المضمنة لـAzure Synapse Analytics
هذه الصفحة عبارة عن فهرس Azure Policy من تعريفات السياسة المضمنة لـ Azure Synapse. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
Azure Synapse
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين التدقيق على مساحة عمل Synapse | يجب تمكين التدقيق على مساحة عمل Synapse؛ لتعقب أنشطة قاعدة البيانات عبر كافة قواعد البيانات على مجموعات SQL المخصصة، وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تمكن تجمعات SQL المخصصة ل Azure Synapse Analytics التشفير | تمكين تشفير البيانات الشفاف لتجمعات SQL المخصصة ل Azure Synapse Analytics لحماية البيانات الثابتة وتلبية متطلبات التوافق. يرجى ملاحظة أن تمكين تشفير البيانات الشفاف للتجمع قد يؤثر على أداء الاستعلام. يمكن الرجوع إلى مزيد من التفاصيل https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists، معطل | 1.0.0 |
| Azure Synapse Workspace SQL Server يتعين أن تعمل على إصدار TLS 1.2 أو أحدث | يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين عملية الأمان من خلال التأكد من أنه لا يمكن الوصول إلى خادم SQL لمساحة عمل Azure Synapse إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تسمح مساحات عمل Azure Synapse بنسبة استخدام البيانات الصادرة فقط إلى الأهداف المعتمدة | قم بتعزيز الأمان لمساحة عمل Synapse الخاصة بك عن طريق السماح بنقل البيانات الصادرة فقط إلى الأهداف المعتمدة. يساعد هذا الأمر في منع تسرب البيانات عن طريق التحقق من الهدف قبل إرسال البيانات. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تعطل مساحات عمل Azure Synapse الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف مساحة عمل Synapse على شبكة الإنترنت العامة. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من كشف مساحات عمل Synapse الخاصة بك. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| تكوين مساحة عمل Azure Synapse الحد الأدنى المخصص لإصدار TLS من SQL | يمكن للعملاء رفع الحد الأدنى من إصدار TLS أو خفضه باستخدام واجهة برمجة التطبيقات، لكل من مساحات عمل Synapse الجديدة أو مساحات العمل الموجودة. لذلك يمكن للمستخدمين الذين يحتاجون إلى استخدام إصدار عميل أقل في مساحات العمل الاتصال بينما يمكن للمستخدمين الذين لديهم متطلبات أمان رفع الحد الأدنى من إصدار TLS. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | تعديل، تعطيل | 1.1.0 |
| تكوين مساحات عمل Azure Synapse لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمساحة العمل Synapse بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | تعديل، تعطيل | 1.0.0 |
| تكوين مساحات عمل Azure Synapse مع نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender for SQL ليتم تمكينه على مساحات عمل Synapse | قم بتمكين Microsoft Defender for SQL على مساحات عمل Azure Synapse الخاصة بك لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد بيانات SQL أو استغلالها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات عمل Synapse لتمكين التدقيق | لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم مساحات عمل Synapse بتمكين التدقيق. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين مساحات عمل Synapse لتمكين التدقيق إلى مساحة عمل Log Analytics | لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم مساحات عمل Synapse بتمكين التدقيق. إذا لم يتم تمكين التدقيق، سيقوم هذا النهج بتكوين أحداث التدقيق للتدفق إلى مساحة عمل Log Analytics المحددة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات عمل Synapse لاستخدام هويات Microsoft Entra فقط للمصادقة | طلب وإعادة تكوين مساحات عمل Synapse لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مساحات العمل مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية وإعادة تمكين مصادقة Microsoft Entra فقط على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | تعديل، تعطيل | 1.0.0 |
| تكوين مساحات عمل Synapse لاستخدام هويات Microsoft Entra فقط للمصادقة أثناء إنشاء مساحة العمل | طلب وإعادة تكوين مساحات عمل Synapse ليتم إنشاؤها باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | تعديل، تعطيل | 1.2.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات Apache Spark (microsoft.synapse/workspaces/bigdatapools) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لتجمعات Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات Apache Spark (microsoft.synapse/workspaces/bigdatapools) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لتجمعات Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات Apache Spark (microsoft.synapse/workspaces/bigdatapools) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لتجمعات Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Synapse Analytics (microsoft.synapse/workspaces) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Synapse Analytics (microsoft.synapse/workspaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Synapse Analytics (microsoft.synapse/workspaces) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات SQL المخصصة (microsoft.synapse/workspaces/sqlpools) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لتجمعات SQL المخصصة (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات SQL المخصصة (microsoft.synapse/workspaces/sqlpools) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لتجمعات SQL المخصصة (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات SQL المخصصة (microsoft.synapse/workspaces/sqlpools) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لتجمعات SQL المخصصة (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل microsoft.synapse/workspaces/kustopools إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل microsoft.synapse/workspaces/kustopools. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل microsoft.synapse/workspaces/kustopools إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل microsoft.synapse/workspaces/kustopools. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل microsoft.synapse/workspaces/kustopools إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل microsoft.synapse/workspaces/kustopools. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات SCOPE (microsoft.synapse/workspaces/scopepools) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لتجمعات SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات SCOPE (microsoft.synapse/workspaces/scopepools) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لتجمعات SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمعات SCOPE (microsoft.synapse/workspaces/scopepools) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لتجمعات SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة قواعد جدار حماية IP على مساحات عمل Azure Synapse | تساهم إزالة كافة قواعد جدار الحماية لـ IP في تحسين الأمان من خلال ضمان إمكانية الوصول إلى مساحة عمل Azure Synapse من نقطة نهاية خاصة فقط. تعمل هذه التهيئة على مراجعة إنشاء قواعد جدار الحماية التي تسمح بالوصول إلى الشبكة العامة على مساحة العمل. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين الشبكة الظاهرية لمساحة العمل المدارة على مساحات عمل Azure Synapse | يضمن تمكين شبكة ظاهرية لمساحة عمل مُدارة عزل مساحة العمل الخاصة بك عن مساحات العمل الأخرى. كما يوفر تكامل البيانات وموارد Spark المنتشرة في هذه الشبكة الظاهرية عزل مستوى المستخدم لأنشطة Spark. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Azure Defender لـ SQL لمساحات عمل Synapse غير المحمية | تمكين Defender for SQL لحماية مساحات عمل Synapse الخاصة بك. يقوم Defender for SQL بمراقبة Synapse SQL لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تتصل نقاط النهاية الخاصة المدارة من Synapse بالموارد في مستأجري Azure Active Directory المعتمدين فقط | قم بتوفير الحماية لمساحة عمل Synapse الخاص بك فقط من خلال السماح بالاتصالات إلى الموارد في مستأجري Azure Active Directory (Azure AD) المعتمدين. يمكن تحديد مستأجري Azure AD المعتمدين أثناء تعيين النهج. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تحتوي إعدادات تدقيق مساحة عمل Synapse على مجموعات إجراءات تم تكوينها لالتقاط الأنشطة الهامة | لضمان دقة سجلات التدقيق الخاصة بك قدر الإمكان، يجب أن تتضمن عمليات التدقيق وخاصية المجموعات كافة المجموعات ذات الصلة. نوصي بإضافة SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP، وFAILED_DATABASE_AUTHENTICATION_GROUP، وBATCH_COMPLETED_GROUP. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لمساحات عمل Synapse | طلب مساحات عمل Synapse لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مساحات العمل مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Synapse هويات Microsoft Entra فقط للمصادقة أثناء إنشاء مساحة العمل | طلب إنشاء مساحات عمل Synapse باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | التدقيق، الرفض، التعطيل | 1.2.0 |
| يجب تكوين مساحات عمل Synapse مع تدقيق SQL إلى وجهة حساب التخزين مع الاحتفاظ لمدة 90 يوما أو أعلى | لأغراض إجراء التحريات الخاصة بالحوادث، نوصي بتعيين استبقاء البيانات فيما يتعلق بالتدقيق من قبل مساحة عمل Synapse SQL إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ