Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a lap az Azure Synapse beépített Szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatmeghatározások neve linkként az Azure portálon lévő szabályzatmeghatározásra mutat. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure Synapse
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Synapse-munkaterület naplózását engedélyezni kell | A Synapse-munkaterületen végzett naplózásnak engedélyezni kell az adatbázis-tevékenységek nyomon követését a dedikált SQL-készletek összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, kikapcsolva | 1.0.0 |
| A dedikált Azure Synapse Analytics SQL-készleteknek engedélyeznie kell a titkosítást | Engedélyezze a dedikált Azure Synapse Analytics SQL-készletek transzparens adattitkosítását a inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében. Vegye figyelembe, hogy a készlet transzparens adattitkosításának engedélyezése hatással lehet a lekérdezési teljesítményre. További részletekért lásd: https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, kikapcsolva | 1.0.0 |
| Az Azure Synapse Workspace SQL Servernek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure Synapse-munkaterület SQL-kiszolgálója csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Synapse-munkaterületeknek csak jóváhagyott célokra kell engedélyezni a kimenő adatforgalmat | Növelje a Synapse-munkaterület biztonságát azáltal, hogy csak jóváhagyott célokra engedélyezi a kimenő adatforgalmat. Ez segít megelőzni az adatkiszivárgást azáltal, hogy érvényesíti a célt az adatok elküldése előtt. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az Azure Synapse-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Synapse-munkaterület nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Synapse-munkaterületek expozícióját. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Az Azure Synapse Workspace dedikált SQL minimális TLS-verziójának konfigurálása | Az ügyfelek az API használatával emelhetik vagy csökkenthetik a minimális TLS-verziót az új Synapse-munkaterületek vagy a meglévő munkaterületek esetében. Így azok a felhasználók, akiknek alacsonyabb ügyfélverziót kell használniuk a munkaterületeken, csatlakozhatnak, míg a biztonsági követelményekkel rendelkező felhasználók emelhetik a minimális TLS-verziót. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Módosítás, letiltva | 1.1.0 |
| Azure Synapse-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a Synapse-munkaterület nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Módosítás, letiltva | 1.0.0 |
| Azure Synapse-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Synapse-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| A Microsoft Defender for SQL konfigurálása a Synapse-munkaterületeken való engedélyezéshez | Engedélyezze a Microsoft Defender for SQL-t az Azure Synapse-munkaterületeken, hogy észlelje az SQL-adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| Synapse-munkaterületek konfigurálása naplózás engedélyezéséhez | Az SQL-objektumokon végrehajtott műveletek rögzítése érdekében a Synapse-munkaterületeken engedélyezve kell lennie a naplózásnak. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | TelepítsdHaNemLétezik, Kikapcsolva | 2.0.0 |
| Synapse-munkaterületek konfigurálása úgy, hogy engedélyezve legyen a naplózás a Log Analytics-munkaterületen | Az SQL-objektumokon végrehajtott műveletek rögzítése érdekében a Synapse-munkaterületeken engedélyezve kell lennie a naplózásnak. Ha a naplózás nincs engedélyezve, ez a szabályzat úgy konfigurálja a naplózási eseményeket, hogy a megadott Log Analytics-munkaterületre áramoljanak. | TelepítsdHaNemLétezik, Kikapcsolva | 1.0.0 |
| Konfigurálja a Synapse-munkaterületeket úgy, hogy csak a Microsoft Entra-identitásokat használják hitelesítéshez | Synapse-munkaterületek megkövetelése és újrakonfigurálása a Csak Microsoft Entra-hitelesítés használatához. Ez a szabályzat nem akadályozza meg a munkaterületek létrehozását, ha engedélyezve van a helyi hitelesítés. Letiltja a helyi hitelesítés engedélyezését, és újra engedélyezi a csak Microsoft Entra-hitelesítést az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a Synapse-munkaterületeket úgy, hogy csak Microsoft Entra-identitásokat használjanak hitelesítésre a munkaterület létrehozásakor | A Synapse-munkaterületek csak Microsoft Entra-hitelesítéssel való létrehozásához és újrakonfigurálásához szükséges. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Módosítás, letiltva | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként apache Spark-készletekhez (microsoft.synapse/workspaces/bigdatapools) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Apache Spark-készletekhez készült Event Hubra (microsoft.synapse/workspaces/bigdatapools). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként apache Spark-készletekhez (microsoft.synapse/workspaces/bigdatapools) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Apache Spark-készletek (microsoft.synapse/workspaces/bigdatapools) Log Analytics-munkaterületére. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként apache Spark-készletekhez (microsoft.synapse/workspaces/bigdatapools) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Apache Spark-készletek tárfiókjába (microsoft.synapse/workspaces/bigdatapools). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Synapse Analyticshez (microsoft.synapse/workspaces) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Azure Synapse Analytics-eseményközpontba (microsoft.synapse/workspaces). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Synapse Analyticshez (microsoft.synapse/workspaces) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Synapse Analyticshez (microsoft.synapse/workspaces). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Synapse Analyticshez (microsoft.synapse/workspaces) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Azure Synapse Analytics-tárfiókba (microsoft.synapse/workspaces). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként dedikált SQL-készletekhez (microsoft.synapse/workspaces/sqlpools) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók dedikált SQL-készletek (microsoft.synapse/workspaces/sqlpools) eseményközpontba való átirányításához. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként dedikált SQL-készletekhez (microsoft.synapse/workspaces/sqlpools) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók dedikált SQL-készletek (microsoft.synapse/workspaces/sqlpools) Log Analytics-munkaterületére való átirányításához. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként dedikált SQL-készletekhez (microsoft.synapse/workspaces/sqlpools) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók dedikált SQL-készletek (microsoft.synapse/workspaces/sqlpools) tárfiókba való átirányításához. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.synapse/workspaces/kustopools számára az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a microsoft.synapse/workspaces/kustopools eseményközpontba. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.synapse/workspaces/kustopools számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.synapse/workspaces/kustopools Log Analytics-munkaterületre való átirányításához. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.synapse/workspaces/kustopools számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.synapse/workspaces/kustopools tárfiókba való átirányításához. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| A SCOPE-készletek (microsoft.synapse/workspaces/scopepools) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a SCOPE-készletek eseményközpontjába (microsoft.synapse/workspaces/scopepools). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| A SCOPE-készletek (microsoft.synapse/workspaces/scopepools) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a SCOPE-készletek (microsoft.synapse/workspaces/scopepools) Log Analytics-munkaterületére. | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| A SCOPE-készletek (microsoft.synapse/workspaces/scopepools) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a SCOPE-készletek tárfiókjába (microsoft.synapse/workspaces/scopepools). | TelepítésHaNemLétezik, EllenőrzésHaNemLétezik, Letiltva | 1.0.0 |
| El kell távolítani az IP-tűzfalszabályokat az Azure Synapse-munkaterületeken | Az ÖSSZES IP-tűzfalszabály eltávolítása javítja a biztonságot azáltal, hogy az Azure Synapse-munkaterület csak privát végpontról érhető el. Ez a konfiguráció naplóz olyan tűzfalszabályok létrehozását, amelyek lehetővé teszik a nyilvános hálózati hozzáférést a munkaterületen. | Naplózás, letiltva | 1.0.0 |
| Engedélyezni kell a felügyelt munkaterület virtuális hálózatát az Azure Synapse-munkaterületeken | A felügyelt munkaterület virtuális hálózatának engedélyezése biztosítja, hogy a munkaterület hálózata el legyen különítve más munkaterületektől. A virtuális hálózatban üzembe helyezett adatintegráció és Spark-erőforrások felhasználói szintű elkülönítést biztosítanak a Spark-tevékenységekhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | AuditIfNotExists, kikapcsolva | 1.0.0 |
| A Synapse által felügyelt privát végpontoknak csak jóváhagyott Azure Active Directory-bérlőkben lévő erőforrásokhoz kell csatlakozniuk | A Synapse-munkaterület védelme úgy, hogy csak jóváhagyott Azure Active Directory-bérlőkben (Azure AD-bérlőkben) engedélyezi az erőforrásokhoz való kapcsolódást. A jóváhagyott Azure AD-bérlők a szabályzat-hozzárendelés során határozhatók meg. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| A Synapse-munkaterület naplózási beállításainak rendelkezniük kell a kritikus tevékenységek rögzítésére konfigurált műveletcsoportokkal | Annak érdekében, hogy a naplózási naplók a lehető legáttekintősek legyenek, az AuditActionsAndGroups tulajdonságnak tartalmaznia kell az összes érintett csoportot. Javasoljuk, hogy adjon hozzá legalább SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP és BATCH_COMPLETED_GROUP. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, kikapcsolva | 1.0.0 |
| A Synapse-munkaterületeken engedélyezni kell a Microsoft Entra-hitelesítést | A Synapse-munkaterületeknek csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a munkaterületek létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Synapse-munkaterületek csak Microsoft Entra-identitásokat használhatnak hitelesítéshez a munkaterület létrehozásakor | A Synapse-munkaterületek csak Microsoft Entra-hitelesítéssel hozhatók létre. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Naplózás, megtagadás, letiltva | 1.2.0 |
| A Tárfiók célhelyére történő SQL-naplózással rendelkező Synapse-munkaterületeket 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy a Synapse-munkaterület SQL-naplózásának adatmegőrzését a tárfiók célhelyére állítsa legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, kikapcsolva | 2.0.0 |
| A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken | A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. | AuditIfNotExists, kikapcsolva | 1.0.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.