Definiciones de directivas integradas de Azure Policy para Azure Synapse Analytics
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure Synapse. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure Synapse
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
Se debe habilitar la auditoría en el área de trabajo de Synapse | La auditoría en el área de trabajo de Synapse debe estar habilitada para realizar el seguimiento de las actividades de todas las bases de datos de los grupos de SQL dedicados y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 1.0.0 |
Los grupos de SQL dedicados de Azure Synapse Analytics deben habilitar el cifrado | Habilite el cifrado de datos transparente para grupos de SQL dedicados de Azure Synapse Analytics para proteger los datos en reposo y cumplir los requisitos de cumplimiento. Tenga en cuenta que habilitar el cifrado de datos transparente del grupo puede afectar al rendimiento de las consultas. Puede consultar más detalles en https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
El área de trabajo de Azure Synapse de SQL Server debe ejecutar TLS versión 1.2 o posterior | Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso al servidor de SQL del área de trabajo de Azure Synapse desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Audit, Deny, Disabled | 1.1.0 |
Las áreas de trabajo de Azure Synapse deben permitir el tráfico de datos de salida únicamente a destinos aprobados. | Permita el tráfico de datos de salida únicamente a destinos aprobados para aumentar la seguridad del área de trabajo de Synapse. Esto ayuda a evitar la exfiltración de datos mediante la validación del destino antes de enviar los datos. | Audit, Disabled, Deny | 1.0.0 |
Las áreas de trabajo de Azure Synapse deberían deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Synapse no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las áreas de trabajo de Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
Las áreas de trabajo de Azure Synapse deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en las áreas de trabajo de Azure Synapse. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado a partir del cifrado predeterminado que se creó mediante las claves administradas por el servicio. | Audit, Deny, Disabled | 1.0.0 |
Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
Configuración de la versión mínima de TLS del área de trabajo dedicada de Azure Synapse de SQL Server | Los clientes pueden generar o reducir la versión mínima de TLS mediante la API, tanto para las nuevas áreas de trabajo de Synapse como para las áreas de trabajo existentes. De este modo, los usuarios que tengan que usar una versión de cliente inferior en las áreas de trabajo puedan conectarse, mientras que los usuarios que tengan requisitos de seguridad puedan aumentar la versión mínima de TLS. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Deshabilitado | 1.1.0 |
Configurar las áreas de trabajo de Azure Synapse para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública del área de trabajo de Synapse de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Deshabilitado | 1.0.0 |
Configurar las áreas de trabajo de Azure Synapse con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a las áreas de trabajo de Azure Synapse, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
Configurar Microsoft Defender para SQL para habilitarlo en áreas de trabajo de Synapse | Habilite Microsoft Defender para SQL en las áreas de trabajo de Azure Synapse para detectar actividades anómalas que revelen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos de SQL o de explotarlas. | DeployIfNotExists, Disabled | 1.0.0 |
Configurar las áreas de trabajo de Synapse para habilitar la auditoría | Para que se capturen las operaciones realizadas en los recursos de SQL, las áreas de trabajo de Synapse deben tener habilitada la auditoría. A veces, es necesario para cumplir con los estándares normativos. | DeployIfNotExists, Disabled | 2.0.0 |
Configuración de las áreas de trabajo para que tengan habilitada la auditoría en el área de trabajo de Log Analytics | Para que se capturen las operaciones realizadas en los recursos de SQL, las áreas de trabajo de Synapse deben tener habilitada la auditoría. Si la auditoría no está habilitada, esta directiva configurará los eventos de auditoría para que fluyan al área de trabajo especificada de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
Configuración de las áreas de trabajo de Synapse para usar solo identidades de Microsoft Entra para la autenticación | Requerir y volver a configurar áreas de trabajo de Synapse para usar la autenticación solo de Microsoft Entra. Esta directiva no impide que se creen áreas de trabajo con la autenticación local habilitada. Impide que la autenticación local se habilite y vuelva a habilitar la autenticación solo de Microsoft Entra en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Modificar, Deshabilitado | 1.0.0 |
Configuración de las áreas de trabajo de Synapse para usar solo identidades de Microsoft Entra para la autenticación | Requerir y volver a configurar áreas de trabajo de Synapse para crearlas con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Modificar, Deshabilitado | 1.2.0 |
Habilitar el registro mediante un grupo de categorías para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para Azure Synapse Analytics (microsoft.synapse/workspaces) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para Azure Synapse Analytics (microsoft.synapse/workspaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para Azure Synapse Analytics (microsoft.synapse/workspaces) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de SQL dedicados (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para microsoft.synapse/workspaces/kustopools en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para microsoft.synapse/workspaces/kustopools en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para microsoft.synapse/workspaces/kustopools en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de SCOPE (microsoft.synapse/workspaces/scopepools) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de SCOPE (microsoft.synapse/workspaces/scopepools) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para grupos de SCOPE (microsoft.synapse/workspaces/scopepools) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Se deben quitar las reglas de firewall de IP en las áreas de trabajo de Azure Synapse. | La eliminación de todas las reglas de firewall de IP mejora la seguridad al garantizar que solo se puede acceder a su área de trabajo de Azure Synapse desde un punto de conexión privado. Esta configuración audita la creación de reglas de firewall que permiten el acceso a la red pública en el área de trabajo. | Audit, Disabled | 1.0.0 |
La red virtual del área de trabajo administrada en las áreas de trabajo de Azure Synapse debe estar habilitada. | La habilitación de una red virtual en el área de trabajo administrada garantiza el aislamiento por red de esta última respecto a las demás. La integración de datos y los recursos de Spark implementados en esta red virtual también proporcionan aislamiento de nivel de usuario para las actividades de Spark. | Audit, Deny, Disabled | 1.0.0 |
Se debe habilitar Microsoft Defender para SQL para las áreas de trabajo de Synapse | Habilite Defender para SQL para proteger las áreas de trabajo de Synapse. Defender for SQL supervisa el Synapse SQL para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | AuditIfNotExists, Disabled | 1.0.0 |
Los puntos de conexión privados que administra Synapse solo deben conectarse a recursos de inquilinos aprobados de Azure Active Directory | Proteja su área de trabajo de Synapse. Para ello, permita solo conexiones a los recursos de los inquilinos de Azure Active Directory (Azure AD) aprobados. Los inquilinos de Azure AD aprobados se pueden definir durante la asignación de la directiva. | Audit, Disabled, Deny | 1.0.0 |
La configuración de auditoría del área de trabajo de Synapse debe tener grupos de acciones configurados para capturar actividades críticas | Para asegurarse de que los registros de auditoría son lo más exhaustivos posible, la propiedad AuditActionsAndGroups debe incluir todos los grupos pertinentes. Se recomienda agregar al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP y BATCH_COMPLETED_GROUP. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 1.0.0 |
Áreas de trabajo de Synapsee deben tener habilitada la autenticación solo entra de Microsoft | Requerir que las áreas de trabajo de Synapse usen la autenticación solo de Microsoft Entra. Esta directiva no impide que se creen áreas de trabajo con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
Las áreas de trabajo de Synapse solo deben usar identidades de Microsoft Entra para la autenticación durante la creación del área de trabajo | Requerir que las áreas de trabajo de Synapse se creen con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
Las áreas de trabajo de Synapse con auditoría de SQL en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL del área de trabajo de Synapse en la cuenta de almacenamiento de destino en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 2.0.0 |
La evaluación de vulnerabilidades debe estar habilitada en las áreas de trabajo de Synapse | Para detectar, seguir y corregir posibles vulnerabilidades, configure exámenes periódicos de evaluación de las vulnerabilidades de SQL en las áreas de trabajo de Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.