Azure Synapse Analytics에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Synapse에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Synapse
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Synapse 작업 영역에서 감사를 사용하도록 설정해야 함 | 전용 SQL 풀의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 Synapse 작업 영역에서 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Synapse Analytics 전용 SQL 풀은 암호화를 사용하도록 설정해야 함 | Azure Synapse Analytics 전용 SQL 풀에 대해 투명한 데이터 암호화를 사용하도록 설정하여 미사용 데이터를 보호하고 규정 준수 요구 사항을 충족합니다. 풀에 투명한 데이터 암호화를 사용하도록 설정하면 쿼리 성능에 영향을 미칠 수 있습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2147714를 참조할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역 SQL Server는 TLS 버전 1.2 이상을 실행해야 함 | TLS 버전을 1.2 이상으로 설정하면 TLS 1.2 이상을 사용하는 클라이언트에서만 Azure Synapse 작업 영역 SQL 서버에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Synapse 작업 영역은 승인된 대상에만 아웃바운드 데이터 트래픽을 허용해야 함 | 승인된 대상에만 아웃바운드 데이터 트래픽을 허용하여 Synapse 작업 영역의 보안을 강화합니다. 이렇게 하면 데이터를 보내기 전에 대상의 유효성을 검사하여 데이터 유출을 방지할 수 있습니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Azure Synapse 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Synapse 작업 영역이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 Synapse 작업 영역의 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Synapse 작업 영역에 저장된 데이터의 저장 데이터 암호화를 제어합니다. 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
| Azure Synapse 작업 영역 전용 SQL 최소 TLS 버전 구성 | 고객은 새 Synapse 작업 영역 또는 기존 작업 영역 모두에 대해 API를 사용하여 최소 TLS 버전을 높이거나 낮출 수 있습니다. 따라서 작업 영역에서 더 낮은 클라이언트 버전을 사용해야 하는 사용자는 연결할 수 있고 보안 요구 사항이 있는 사용자는 최소 TLS 버전을 늘릴 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Synapse 작업 영역 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 Synapse 작업 영역에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Synapse 작업 영역 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| SQL용 Microsoft Defender를 Synapse 작업 영역에서 사용하도록 구성 | Azure Synapse 작업 영역에서 SQL용 Microsoft Defender를 활성화하여 SQL 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 감사를 사용하도록 Synapse 작업 영역 구성 | SQL 자산에 대해 수행되는 작업을 캡처하려면 Synapse 작업 영역에서 감사를 사용하도록 설정해야 합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Log Analytics 작업 영역에 대한 감사를 사용하도록 Synapse 작업 영역 구성 | SQL 자산에 대해 수행되는 작업을 캡처하려면 Synapse 작업 영역에서 감사를 사용하도록 설정해야 합니다. 감사를 사용하도록 설정하지 않으면 이 정책은 지정된 Log Analytics 작업 영역으로 전달되도록 감사 이벤트를 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 인증에 Microsoft Entra ID만 사용하도록 Synapse 작업 영역 구성 | Microsoft Entra 전용 인증을 사용하려면 Synapse 작업 영역을 요구하고 다시 구성합니다. 이 정책은 로컬 인증이 사용하도록 설정된 작업 영역이 만들어지는 것을 차단하지 않습니다. 로컬 인증이 사용하도록 설정되는 것을 차단하고 만든 후 리소스에 대한 Microsoft Entra 전용 인증을 다시 사용하도록 설정합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 작업 영역을 만드는 동안 인증에 Microsoft Entra ID만 사용하도록 Synapse 작업 영역 구성 | Microsoft Entra 전용 인증을 사용하여 만들어지도록 Synapse 작업 영역을 요구하고 다시 구성합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.2.0 |
| 이벤트 허브에 대한 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Apache Spark 풀용 이벤트 허브(microsoft.synapse/workspaces/bigdatapools)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics에 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 스토리지에 대한 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Apache Spark 풀의 스토리지 계정(microsoft.synapse/workspaces/bigdatapools)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Azure Synapse Analytics용 Event Hub(microsoft.synapse/workspaces)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics에 대한 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Azure Synapse Analytics(microsoft.synapse/workspaces)용 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 스토리지에 대한 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대한 스토리지 계정으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 전용 SQL 풀용 이벤트 허브(microsoft.synapse/workspaces/sqlpools)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics에 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Storage에 대한 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대한 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools에서 이벤트 허브로 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 microsoft.synapse/workspaces/kustopools용 이벤트 허브로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft.synapse/workspaces/kustopools에서 Log Analytics로 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 microsoft.synapse/workspaces/kustopools용 Log Analytics 작업 영역으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft.synapse/workspaces/kustopools to Storage에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 microsoft.synapse/workspaces/kustopools에 대한 스토리지 계정으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| EVENT Hub에 대한 SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 SCOPE 풀용 이벤트 허브(microsoft.synapse/workspaces/scopepools)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대한 범주 그룹별 로깅을 Log Analytics로 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 SCOPE 풀의 Log Analytics 작업 영역(microsoft.synapse/workspaces/scopepools)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대한 범주 그룹별 로깅을 스토리지에 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 SCOPE 풀의 스토리지 계정(microsoft.synapse/workspaces/scopepools)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse 작업 영역에서 IP 방화벽 규칙을 제거해야 함 | 모든 IP 방화벽 규칙을 제거하면 프라이빗 엔드포인트에서만 Azure Synapse 작업 영역에 액세스할 수 있도록 하여 보안을 향상시킵니다. 이 구성에서는 작업 영역에서 공용 네트워크 액세스를 허용하는 방화벽 규칙 생성을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역에서 관리형 작업 영역 가상 네트워크를 사용하도록 설정해야 함 | 관리형 작업 영역 가상 네트워크를 사용하도록 설정하면 작업 영역이 다른 작업 영역과 격리된 네트워크가 됩니다. 이 가상 네트워크에 배포된 데이터 통합 및 Spark 리소스는 Spark 작업에 대한 사용자 수준 격리도 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 | Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Synapse 관리형 프라이빗 엔드포인트는 승인된 Azure Active Directory 테넌트의 리소스에만 연결해야 함 | 승인된 Azure AD(Azure Active Directory) 테넌트의 리소스에 대한 연결만 허용하여 Synapse 작업 영역을 보호합니다. 승인된 Azure AD 테넌트는 정책 할당 중에 정의할 수 있습니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Synapse 작업 영역 감사 설정에 중요한 활동을 캡처하기 위해 구성된 작업 그룹이 있어야 함 | 감사 로그를 최대한 철저히 관리하려면 AuditActionsAndGroups 속성에 모든 관련 그룹이 포함되어야 합니다. SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP 및 BATCH_COMPLETED_GROUP를 하나 이상 추가하는 것이 좋습니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Synapse 작업 영역에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Synapse 작업 영역이 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 작업 영역이 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Synapse 작업 영역은 작업 영역을 만드는 동안 인증을 위해 Microsoft Entra ID만 사용해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Synapse 작업 영역을 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.2.0 |
| 스토리지 계정 대상에 대한 SQL 감사 기능이 있는 Synapse 작업 영역은 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 Synapse 작업 영역의 SQL 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Synapse 작업 영역에서 취약성 평가를 사용하도록 설정해야 함 | Synapse 작업 영역에서 반복되는 SQL 취약성 평가 검사를 구성하여 잠재적인 취약성을 검색하고 추적 및 수정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기