Definisi bawaan Azure Policy untuk Azure Synapse Analytics
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Synapse. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure Synapse
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Audit di ruang kerja Synapse harus diaktifkan | Audit di ruang kerja Synapse Anda harus diaktifkan untuk melacak aktivitas database di semua database pada kumpulan SQL khusus dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kumpulan SQL khusus Azure Synapse Analytics harus mengaktifkan enkripsi | Aktifkan enkripsi data transparan untuk kumpulan SQL khusus Azure Synapse Analytics untuk melindungi data tidak aktif dan memenuhi persyaratan kepatuhan. Harap dicatat bahwa mengaktifkan enkripsi data transparan untuk kumpulan dapat memengaruhi performa kueri. Detail selengkapnya dapat merujuk ke https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Server SQL Ruang Kerja Azure Synapse harus menjalankan TLS versi 1.2 atau yang lebih baru | Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan server SQL ruang kerja Azure Synapse Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Ruang kerja Azure Synapse harus mengizinkan lalu lintas data keluar hanya ke target yang disetujui | Tingkatkan keamanan ruang kerja Synapse Anda dengan mengizinkan lalu lintas data keluar hanya ke target yang disetujui. Hal ini membantu pencegahan terhadap penyelundupan data dengan memvalidasi target sebelum mengirim data. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Ruang kerja Azure Synapse harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Synapse tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan ruang kerja Synapse Anda. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di ruang kerja Azure Synapse. Kunci yang dikelola pelanggan memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default dengan kunci yang dikelola layanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi versi TLS minimum SQL Khusus Ruang Kerja Azure Synapse | Pelanggan dapat menaikkan atau menurunkan versi TLS minimal menggunakan API, untuk ruang kerja Synapse baru maupun ruang kerja yang ada. Jadi pengguna yang perlu menggunakan versi klien yang lebih rendah di ruang kerja dapat terhubung sementara pengguna yang memiliki persyaratan keamanan dapat menaikkan versi TLS minimum. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan ruang kerja Azure Synapse untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk ruang kerja Synapse Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi ruang kerja Azure Synapse dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke ruang kerja Azure Synapse, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan Microsoft Defender agar SQL diaktifkan di ruang kerja Synapse | Aktifkan Microsoft Defender untuk SQL di ruang kerja Azure Synapse Anda untuk mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database SQL. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ruang kerja Synapse agar audit diaktifkan | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda diambil, ruang kerja Synapse harus mengaktifkan audit. Ini terkadang diperlukan untuk memenuhi standar peraturan. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasikan ruang kerja Synapse untuk mengaktifkan audit ke ruang kerja Analitik Log | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda diambil, ruang kerja Synapse harus mengaktifkan audit. Jika audit tidak diaktifkan, kebijakan ini akan mengonfigurasi peristiwa audit agar mengalir ke ruang kerja Analitik Log yang ditentukan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Ruang Kerja Synapse untuk hanya menggunakan identitas Microsoft Entra untuk autentikasi | Memerlukan dan mengonfigurasi ulang Ruang Kerja Synapse untuk menggunakan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir ruang kerja agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan dan mengaktifkan kembali autentikasi khusus Microsoft Entra pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Ruang Kerja Synapse untuk hanya menggunakan identitas Microsoft Entra untuk autentikasi selama pembuatan ruang kerja | Memerlukan dan mengonfigurasi ulang Ruang Kerja Synapse untuk dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Ubah, Non-fungsikan | 1.2.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan Apache Spark (microsoft.synapse/workspaces/bigdatapools) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk kumpulan Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan Apache Spark (microsoft.synapse/workspaces/bigdatapools) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk kumpulan Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan Apache Spark (microsoft.synapse/workspaces/bigdatapools) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk kumpulan Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Synapse Analytics (microsoft.synapse/workspaces) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Synapse Analytics (microsoft.synapse/workspaces) ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Synapse Analytics (microsoft.synapse/workspaces) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk kumpulan SQL Khusus (microsoft.synapse/workspaces/sqlpools) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk kumpulan SQL Khusus (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan SQL Khusus (microsoft.synapse/workspaces/sqlpools) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk kumpulan SQL Khusus (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan SQL Khusus (microsoft.synapse/workspaces/sqlpools) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk kumpulan SQL Khusus (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.synapse/workspaces/kustopools ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.synapse/workspaces/kustopools ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.synapse/workspaces/kustopools ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan CAKUPAN (microsoft.synapse/workspaces/scopepools) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk kumpulan CAKUPAN (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk kumpulan CAKUPAN (microsoft.synapse/workspaces/scopepools) ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk kumpulan cakupan (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk kumpulan CAKUPAN (microsoft.synapse/workspaces/scopepools) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk kumpulan CAKUPAN (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aturan firewall IP di ruang kerja Azure Synapse harus dihapus | Menghapus semua aturan firewall IP meningkatkan keamanan dengan memastikan ruang kerja Azure Synapse Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini mengaudit pembuatan aturan firewall yang mengizinkan akses jaringan publik di ruang kerja. | Audit, Dinonaktifkan | 1.0.0 |
| Jaringan virtual ruang kerja terkelola di ruang kerja Azure Synapse harus diaktifkan | Mengaktifkan jaringan virtual ruang kerja terkelola memastikan bahwa ruang kerja Anda adalah jaringan yang diisolasi dari ruang kerja lain. Integrasi data dan sumber daya Spark yang disebarkan di jaringan virtual ini juga menyediakan isolasi tingkat pengguna untuk aktivitas Spark. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Microsoft Defender untuk SQL harus diaktifkan bagi ruang kerja Synapse yang tidak dilindungi | Aktifkan Defender untuk SQL untuk melindungi ruang kerja Synapse Anda. Defender untuk SQL memantau SQL Synapse Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Titik akhir privat terkelola Synapse hanya boleh terhubung ke sumber daya di penyewa Azure Active Directory yang disetujui | Lindungi ruang kerja Synapse Anda dengan hanya mengizinkan koneksi ke sumber daya di penyewa Azure Active Directory (Azure AD) yang disetujui. Penyewa Azure Active Directory yang disetujui dapat ditentukan selama penetapan kebijakan. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Pengaturan audit ruang kerja Synapse harus memiliki grup tindakan yang dikonfigurasi untuk mengambil aktivitas penting | Untuk memastikan log audit Anda selengkap mungkin, properti AuditActionsAndGroups harus menyertakan semua grup yang relevan. Kami menyarankan untuk setidaknya menambahkan SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, dan BATCH_COMPLETED_GROUP. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Ruang Kerja Synapse harus mengaktifkan autentikasi Microsoft Entra-only | Mengharuskan Ruang Kerja Synapse menggunakan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir ruang kerja agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang Kerja Synapse hanya boleh menggunakan identitas Microsoft Entra untuk autentikasi selama pembuatan ruang kerja | Mengharuskan Ruang Kerja Synapse dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| Ruang kerja Synapse dengan audit SQL ke destinasi akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan investigasi insiden, sebaiknya atur retensi data untuk audit SQL ruang kerja Synapse Anda ke destinasi akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Penilaian kerentanan harus diaktifkan di ruang kerja Synapse Anda | Temukan, lacak, dan pulihkan potensi kerentanan dengan mengonfigurasi pemindaian penilaian kerentanan SQL berulang di ruang kerja Synapse Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.