Delen via


Ingebouwde Azure Policy-definities voor Azure Synapse Analytics

Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Synapse. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.

De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.

Azure Synapse

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controle in Synapse-werkruimte moet zijn ingeschakeld Controle op uw Synapse-werkruimte moet zijn ingeschakeld om databaseactiviteiten in alle databases in de toegewezen SQL-pools bij te houden en op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 1.0.0
Toegewezen SQL-pools van Azure Synapse Analytics moeten versleuteling inschakelen Schakel transparante gegevensversleuteling in voor toegewezen SQL-pools van Azure Synapse Analytics om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten. Houd er rekening mee dat het inschakelen van transparante gegevensversleuteling voor de pool van invloed kan zijn op de queryprestaties. Meer informatie kan verwijzen naar https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, uitgeschakeld 1.0.0
Azure Synapse Workspace SQL Server moet TLS-versie 1.2 of hoger uitvoeren Als u TLS-versie instelt op 1.2 of hoger, verbetert u de beveiliging door ervoor te zorgen dat de SQL-server van uw Azure Synapse-werkruimte alleen toegankelijk is vanaf clients die TLS 1.2 of hoger gebruiken. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. Controleren, Weigeren, Uitgeschakeld 1.1.0
Azure Synapse-werkruimten mogen uitgaand gegevensverkeer alleen naar goedgekeurde doelen toestaan Verhoog de beveiliging van uw Synapse-werkruimte door uitgaand gegevensverkeer alleen toe te staan aan goedgekeurde doelen. Dit helpt preventie tegen gegevensexfiltratie door het doel te valideren voordat gegevens worden verzonden. Controleren, uitgeschakeld, weigeren 1.0.0
Azure Synapse-werkruimten moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Synapse-werkruimte niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Synapse-werkruimten beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Controleren, Weigeren, Uitgeschakeld 1.0.0
Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Toegewezen SQL-minimumversie van Azure Synapse-werkruimte configureren Klanten kunnen de minimale TLS-versie verhogen of verlagen met behulp van de API, voor zowel nieuwe Synapse-werkruimten als bestaande werkruimten. Gebruikers die een lagere clientversie in de werkruimten moeten gebruiken, kunnen dus verbinding maken terwijl gebruikers met een beveiligingsvereiste de minimale TLS-versie kunnen verhogen. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Wijzigen, uitgeschakeld 1.1.0
Azure Synapse-werkruimten configureren om openbare netwerktoegang uit te schakelen Schakel openbare netwerktoegang voor uw Synapse-werkruimte uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Wijzigen, uitgeschakeld 1.0.0
Azure Synapse-werkruimten configureren met privé-eindpunten Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te wijden aan Azure Synapse-werkruimten, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor SQL configureren voor ingeschakelde Synapse-werkruimten Schakel Microsoft Defender voor SQL in uw Azure Synapse-werkruimten in om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot OF misbruik te maken van SQL-databases. DeployIfNotExists, uitgeschakeld 1.0.0
Synapse-werkruimten configureren om controle ingeschakeld te hebben Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten voor Synapse-werkruimten controle zijn ingeschakeld. Dit is soms vereist voor naleving van regelgevingsstandaarden. DeployIfNotExists, uitgeschakeld 2.0.0
Synapse-werkruimten configureren om controle in te schakelen voor Log Analytics-werkruimte Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten voor Synapse-werkruimten controle zijn ingeschakeld. Als controle niet is ingeschakeld, configureert dit beleid controlegebeurtenissen om naar de opgegeven Log Analytics-werkruimte te stromen. DeployIfNotExists, uitgeschakeld 1.0.0
Synapse-werkruimten configureren om alleen Microsoft Entra-identiteiten te gebruiken voor verificatie Synapse-werkruimten vereisen en opnieuw configureren voor het gebruik van alleen-Microsoft Entra-verificatie. Dit beleid blokkeert niet dat werkruimten worden gemaakt met lokale verificatie ingeschakeld. Er wordt wel voorkomen dat lokale verificatie wordt ingeschakeld en dat Microsoft Entra-verificatie opnieuw wordt ingeschakeld op resources nadat deze zijn gemaakt. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. Wijzigen, uitgeschakeld 1.0.0
Synapse-werkruimten configureren om alleen Microsoft Entra-identiteiten te gebruiken voor verificatie tijdens het maken van de werkruimte Synapse-werkruimten vereisen en opnieuw configureren om te worden gemaakt met Alleen-entra-verificatie van Microsoft. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. Wijzigen, uitgeschakeld 1.2.0
Logboekregistratie inschakelen op categoriegroep voor Apache Spark-pools (microsoft.synapse/workspaces/bigdatapools) naar Event Hub Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Apache Spark-pools (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor Apache Spark-pools (microsoft.synapse/workspaces/bigdatapools) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Apache Spark-pools (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor Apache Spark-pools (microsoft.synapse/workspaces/bigdatapools) naar Storage Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Apache Spark-pools (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor Azure Synapse Analytics (microsoft.synapse/workspaces) naar Event Hub Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor Azure Synapse Analytics (microsoft.synapse/workspaces) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor Azure Synapse Analytics (microsoft.synapse/workspaces) naar Storage Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor toegewezen SQL-pools (microsoft.synapse/workspaces/sqlpools) naar Event Hub Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Toegewezen SQL-pools (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor toegewezen SQL-pools (microsoft.synapse/workspaces/sqlpools) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor toegewezen SQL-pools (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor toegewezen SQL-pools (microsoft.synapse/workspaces/sqlpools) naar Storage Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor toegewezen SQL-pools (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor microsoft.synapse/workspaces/kustopools naar Event Hub Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor microsoft.synapse/workspaces/kustopools naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor microsoft.synapse/workspaces/kustopools naar Storage Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor SCOPE-pools (microsoft.synapse/workspaces/scopepools) naar Event Hub Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor SCOPE-pools (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor SCOPE-pools (microsoft.synapse/workspaces/scopepools) naar Log Analytics Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor SCOPE-pools (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
Logboekregistratie inschakelen op categoriegroep voor SCOPE-pools (microsoft.synapse/workspaces/scopepools) naar Storage Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor SCOPE-pools (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Uitgeschakeld 1.0.0
De IP-firewallregels voor Azure Synapse-werkruimten moeten worden verwijderd Als u alle IP-firewallregels verwijdert, wordt de beveiliging verbeterd door ervoor te zorgen dat uw Azure Synapse-werkruimte alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie controleert het maken van firewallregels die openbare netwerktoegang tot de werkruimte toestaan. Controle, uitgeschakeld 1.0.0
Het virtuele netwerk van de beheerde werkruimte in Azure Synapse-werkruimten moet zijn ingeschakeld Als u een virtueel netwerk voor een beheerde werkruimte inschakelt zorgt u ervoor dat uw werkruimte binnen het netwerk is afgeschermd van andere werkruimten. Gegevensintegratie en Apache Spark-resources die zijn geïmplementeerd in dit virtuele netwerk, bieden ook isolatie op gebruikersniveau voor Apache Spark-activiteiten. Controleren, Weigeren, Uitgeschakeld 1.0.0
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten Schakel Defender voor SQL in om uw Synapse-werkruimten te beveiligen. Defender voor SQL bewaakt uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. AuditIfNotExists, uitgeschakeld 1.0.0
Door Synapse beheerde privé-eindpunten mogen alleen verbinding maken met resources in goedgekeurde Azure Active Directory-tenants Beveilig uw Synapse-werkruimte door alleen verbindingen met resources in goedgekeurde Azure Active Directory-tenants (Azure AD) toe te staan. De goedgekeurde Azure AD-tenants kunnen worden gedefinieerd tijdens de beleidstoewijzing. Controleren, uitgeschakeld, weigeren 1.0.0
Controle-instellingen voor Synapse-werkruimte moeten actiegroepen hebben geconfigureerd om kritieke activiteiten vast te leggen Om ervoor te zorgen dat uw auditlogboeken zo grondig mogelijk zijn, moet de eigenschap AuditActionsAndGroups alle relevante groepen bevatten. U wordt aangeraden ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP en BATCH_COMPLETED_GROUP toe te voegen. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 1.0.0
Synapse-werkruimten moeten alleen-microsoft-verificatie hebben ingeschakeld Synapse-werkruimten vereisen dat alleen Microsoft Entra-verificatie wordt gebruikt. Dit beleid blokkeert niet dat werkruimten worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. Controleren, Weigeren, Uitgeschakeld 1.0.0
Synapse-werkruimten mogen alleen Microsoft Entra-identiteiten gebruiken voor verificatie tijdens het maken van de werkruimte Vereisen dat Synapse-werkruimten worden gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. Controleren, Weigeren, Uitgeschakeld 1.2.0
Synapse-werkruimten met SQL-controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de SQL-controle van uw Synapse-werkruimte in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 2.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. AuditIfNotExists, uitgeschakeld 1.0.0

Volgende stappen