Azure Synapse Analytics ワークスペースでのデータ流出の防止
この記事では、Azure Synapse Analytics でのデータ流出の防止について説明します。
Synapse ワークスペースからのデータ エグレスのセキュリティ保護
Azure Synapse Analytics ワークスペースでは、ワークスペースのデータ流出の防止を有効化することがサポートされています。 流出防止を使用すると、悪意のある内部関係者が Azure リソースにアクセスし、機密データを組織の範囲外の場所に流出させることから保護できます。 ワークスペースの作成時に、マネージド仮想ネットワークと、データ流出に対する追加の保護を使用して、ワークスペースを構成することを選択できます。 マネージド仮想ネットワークを使用してワークスペースを作成するとき、データ統合および Spark リソースがマネージド仮想ネットワークにデプロイされます。 ワークスペースの専用 SQL プールとサーバーレス SQL プールにはマルチテナント機能があり、そのため、マネージド仮想ネットワークの外部に存在する必要があります。 データ流出保護が設定されているワークスペースの場合、マネージド仮想ネットワーク内のリソースは、常にマネージド プライベート エンドポイント経由で通信します。 データ流出保護が有効な場合、イングレス トラフィックはデータ流出保護によって制御されないため、Synapse SQL リソースは、OPENROWSETS または EXTERNAL TABLE を使って、任意の認可された Azure Storage に接続し、クエリを実行できます。 一方、CREATE EXTERNAL TABLE AS SELECT を介したエグレス トラフィックはデータ流出保護によって制御されます。
Note
ワークスペースの作成後に、マネージド仮想ネットワークとデータ流出の防止のためのワークスペース構成を変更することはできません。
承認されたターゲットへの Synapse ワークスペース データ送信の管理
データ流出の防止を有効にしてワークスペースが作成された後、ワークスペース リソースの所有者は、ワークスペースに対して承認された Microsoft Entra テナントの一覧を管理できます。 ワークスペース上の適切なアクセス許可を持つユーザーは、Synapse Studio を使用して、ワークスペースの承認された Microsoft Entra テナント内のリソースに対するマネージド プライベート エンドポイント接続要求を作成できます。 未承認のテナントにあるリソースへのプライベート エンドポイント接続をユーザーが作成しようとすると、マネージド プライベート エンドポイントの作成はブロックされます。
データ流出の防止が有効になっているワークスペースの例
例を使用して、Synapse ワークスペースのデータ流出防止について説明します。 Contoso ではテナント A とテナント B に Azure リソースがあり、これらのリソースを安全に接続する必要があります。 テナント A に Synapse ワークスペースが作成され、承認された Microsoft Entra テナントとしてテナント B が追加されました。 この図には、ストレージ アカウント所有者によって承認されたテナント A とテナント B の Azure Storage アカウントへのプライベート エンドポイント接続が示されています。 この図には、ブロックされたプライベート エンドポイントの作成も示されています。 このプライベート エンドポイントの作成は、Contoso のワークスペースで承認された Microsoft Entra テナントでない Fabrikam Microsoft Entra テナント内の Azure Storage アカウントがターゲットとされたためブロックされました。
重要
ワークスペースのテナント以外のテナント内のリソースには、SQL プールからそれらへの接続をブロックするファイアウォール規則を設定しないでください。 Spark クラスターなどワークスペースのマネージド仮想ネットワーク内のリソースは、マネージド プライベート リンクを介してファイアウォールで保護されたリソースに接続できます。
次の手順
データ流出の防止が有効になっているワークスペースを作成する方法を学習する
マネージド ワークスペースの Virtual Network の詳細を学習する
マネージド プライベート エンドポイントの詳細を学習する