Protection contre l’exfiltration de données pour les espaces de travail Azure Synapse Analytics

  • Article

Cet article explique la protection contre l’exfiltration de données dans Azure Synapse Analytics

Sécurisation de la sortie de données à partir d’espaces de travail Synapse

Les espaces de travail Azure Synapse Analytics prennent en charge l’activation de la protection contre l’exfiltration de données pour les espaces de travail. Avec la protection contre l’exfiltration, vous pouvez vous protéger contre les personnes malveillantes qui accèdent à vos ressources Azure et exfiltrent des données sensibles vers des emplacements situés en dehors de l’étendue de votre organisation. Au moment de la création de l’espace de travail, vous pouvez choisir de configurer l’espace de travail avec un réseau virtuel managé et une protection supplémentaire contre l’exfiltration de données. Lorsqu’un espace de travail est créé avec un réseau virtuel managé, l’intégration des données et les ressources Spark sont déployées dans le réseau virtuel managé. Les pools SQL dédiés et les pools SQL serverless de l’espace de travail ont des fonctionnalités multi-locataire et, par conséquent, doivent exister en dehors du réseau virtuel managé. Pour les espaces de travail avec protection contre l’exfiltration des données, les ressources du réseau virtuel managé communiquent toujours via des points de terminaison privés managés. Lorsque la protection contre l'exfiltration des données est activée, les ressources Synapse SQL peuvent se connecter à tout stockage Azure autorisé et l'interroger avec OPENROWSETS ou EXTERNAL TABLE, car le trafic entrant n'est pas contrôlé par la protection contre l'exfiltration des données. Toutefois, le trafic de sortie via CREATE EXTERNAL TABLE AS SELECT sera contrôlé par la protection contre l’exfiltration des données.

Remarque

Vous ne pouvez pas modifier la configuration de l’espace de travail pour le réseau virtuel managé et la protection contre l’exfiltration de données après la création de l’espace de travail.

Gestion de la sortie des données de l’espace de travail Synapse vers les cibles approuvées

Une fois l’espace de travail créé avec la protection contre l’exfiltration de données activée, les propriétaires de la ressource d’espace de travail peuvent gérer la liste des locataires Microsoft Entra approuvés de l’espace de travail. Les utilisateurs disposant des autorisations appropriées sur l’espace de travail peuvent utiliser Synapse Studio pour créer des demandes de connexion de point de terminaison privé managé aux ressources dans les locataires Microsoft Entra approuvés de l’espace de travail. La création d’un point de terminaison privé managé sera bloquée si l’utilisateur tente de créer une connexion de point de terminaison privé à une ressource dans un locataire non approuvé.

Exemple d’espace de travail avec la protection contre l’exfiltration de données activée

Utilisons un exemple pour illustrer la protection contre l’exfiltration de données pour les espaces de travail Synapse. Contoso dispose de ressources Azure dans le locataire A et le locataire B et il est nécessaire que ces ressources se connectent en toute sécurité. Un espace de travail Synapse a été créé dans le locataire A avec le locataire B ajouté en tant que locataire Microsoft Entra approuvé. Le diagramme montre les connexions de point de terminaison privé aux comptes Stockage Azure dans le locataire A et le locataire B qui ont été approuvées par les propriétaires du compte de stockage. Le diagramme montre également la création bloquée d’un point de terminaison privé. La création de ce point de terminaison privé a été bloquée, car il ciblait un compte Stockage Azure dans le locataire Fabrikam Microsoft Entra, qui n’est pas un locataire Microsoft Entra approuvé pour l’espace de travail de Contoso.

This diagram shows how data exfiltration protection is implemented for Synapse workspaces

Important

Les ressources dans les locataires autres que le locataire de l’espace de travail ne doivent pas avoir de règles de pare-feu bloquantes pour que les pools SQL puissent s’y connecter. Les ressources au sein du réseau virtuel managé de l’espace de travail, comme les clusters Spark, peuvent se connecter via des liaisons privées managées aux ressources protégées par un pare-feu.

Étapes suivantes

Découvrez comment créer un espace de travail avec la protection contre l’exfiltration de données activée

En savoir plus sur le Réseau virtuel d’espace de travail managé

En savoir plus sur les Points de terminaison privés managés

Créer des points de terminaison privés managés à vos sources de données