Ochrana před exfiltrací dat pro pracovní prostory Azure Synapse Analytics

  • Článek

Tento článek vysvětluje ochranu před exfiltrací dat ve službě Azure Synapse Analytics.

Zabezpečení výchozího přenosu dat z pracovních prostorů Synapse

Pracovní prostory Azure Synapse Analytics podporují zapnutí ochrany před exfiltrací dat. Pomocí ochrany proti exfiltraci můžete chránit prostředky Azure před přístupem zasvěcených osob se zlými úmysly a exfiltrací citlivých dat do míst mimo oblast působnosti vaší organizace. Při vytváření pracovního prostoru můžete zvolit konfiguraci pracovního prostoru se spravovanou virtuální sítí a další ochranou před exfiltrací dat. Při vytvoření pracovního prostoru se spravovanou virtuální sítí se ve spravované virtuální síti nasadí integrace dat a prostředky Sparku. Vyhrazené fondy SQL pracovního prostoru a bezserverové fondy SQL mají víceklientské funkce, a proto musí existovat mimo spravovanou virtuální síť. U pracovních prostorů s ochranou před exfiltrací dat prostředky ve spravované virtuální síti vždy komunikují přes spravované privátní koncové body. Pokud je povolená ochrana před exfiltrací dat, prostředky Synapse SQL se můžou připojit k autorizovanému úložišti Azure Storage a dotazovat je pomocí OPENROWSETS nebo EXTERNÍ TABULKY, protože příchozí provoz není řízen ochranou před exfiltrací dat. Odchozí provoz přes CREATE EXTERNAL TABLE AS SELECT se ale bude řídit ochranou před exfiltrací dat.

Poznámka:

Po vytvoření pracovního prostoru nelze změnit konfiguraci pracovního prostoru pro spravovanou virtuální síť a ochranu exfiltrace dat.

Správa výchozího přenosu dat pracovního prostoru Synapse do schválených cílů

Po vytvoření pracovního prostoru s povolenou ochranou před exfiltrací dat můžou vlastníci prostředku pracovního prostoru spravovat seznam schválených tenantů Microsoft Entra pro daný pracovní prostor. Uživatelé se správnými oprávněními v pracovním prostoru mohou pomocí nástroje Synapse Studio vytvářet žádosti o připojení spravovaného privátního koncového bodu k prostředkům ve schválených tenantech Microsoft Entra pracovního prostoru. Vytvoření spravovaného privátního koncového bodu se zablokuje, pokud se uživatel pokusí vytvořit připojení privátního koncového bodu k prostředku v neschváleném tenantovi.

Ukázkový pracovní prostor s povolenou ochranou před exfiltrací dat

Pojďme použít příklad k ilustraci ochrany před exfiltrací dat pro pracovní prostory Synapse. Společnost Contoso má prostředky Azure v tenantovi A a tenantovi B a je potřeba, aby se tyto prostředky bezpečně připojily. Pracovní prostor Synapse byl vytvořen v tenantovi A s tenantem B přidaným jako schválený tenant Microsoft Entra. Diagram znázorňuje připojení privátního koncového bodu k účtům Azure Storage v tenantovi A a tenantovi B, které schválili vlastníci účtů úložiště. Diagram také ukazuje blokované vytvoření privátního koncového bodu. Vytvoření tohoto privátního koncového bodu bylo zablokováno, protože cílí na účet Azure Storage v tenantovi Fabrikam Microsoft Entra, který není schváleným tenantem Microsoft Entra pro pracovní prostor společnosti Contoso.

This diagram shows how data exfiltration protection is implemented for Synapse workspaces

Důležité

Prostředky v jinýchtenantch Prostředky ve spravované virtuální síti pracovního prostoru, například clustery Spark, se mohou k prostředkům chráněným bránou firewall připojovat přes spravovaná privátní propojení.

Další kroky

Zjistěte, jak vytvořit pracovní prostor s povolenou ochranou před exfiltrací dat.

Další informace o virtuální síti spravovaného pracovního prostoru

Další informace o spravovaných privátních koncových bodech

Vytvoření spravovaných privátních koncových bodů pro zdroje dat