Proteção contra a transferência de dados não autorizada nas áreas de trabalho do Azure Synapse Analytics

  • Artigo

Este artigo explicará a proteção contra exfiltração de dados no Azure Synapse Analytics

Protegendo a saída de dados dos espaços de trabalho do Synapse

A área de trabalho do Azure Synapse Analytics suporta a ativação da proteção contra a transferência de dados não autorizada na área de trabalho. Com a proteção contra a transferência de dados não autorizada, pode evitar que infiltrados maliciosos acedam aos recursos do Azure e transfiram dados confidenciais para localizações fora do âmbito da sua organização. No momento em que cria a área de trabalho, pode optar por configurá-la com uma rede virtual gerida e com proteção adicional contra a transferência de dados não autorizada. Quando um espaço de trabalho é criado com uma rede virtual gerenciada, a integração de dados e os recursos do Spark são implantados na rede virtual gerenciada. Os pools SQL dedicados do espaço de trabalho e os pools SQL sem servidor têm recursos multilocatários e, como tal, precisam existir fora da rede virtual gerenciada. Para espaços de trabalho com proteção contra exfiltração de dados, os recursos dentro da rede virtual gerenciada sempre se comunicam por meio de pontos de extremidade privados gerenciados. Quando a proteção de exfiltração de dados está habilitada, os recursos SQL do Synapse podem se conectar e consultar qualquer Armazenamento do Azure autorizado usando OPENROWSETS ou EXTERNAL TABLE, uma vez que o tráfego de entrada não é controlado pela proteção de exfiltração de dados. No entanto, o tráfego de saída via CREATE EXTERNAL TABLE AS SELECT será controlado pela proteção de exfiltração de dados.

Nota

Não é possível alterar a configuração do espaço de trabalho para a rede virtual gerenciada e a proteção contra exfiltração de dados após a criação do espaço de trabalho.

Gerenciando a saída de dados do espaço de trabalho Synapse para alvos aprovados

Depois que o espaço de trabalho é criado com a proteção contra exfiltração de dados habilitada, os proprietários do recurso de espaço de trabalho podem gerenciar a lista de locatários aprovados do Microsoft Entra para o espaço de trabalho. Os usuários com as permissões certas no espaço de trabalho podem usar o Synapse Studio para criar solicitações de conexão de ponto de extremidade privado gerenciado para recursos nos locatários aprovados do Microsoft Entra do espaço de trabalho. A criação de ponto de extremidade privado gerenciado será bloqueada se o usuário tentar criar uma conexão de ponto de extremidade privado com um recurso em um locatário não aprovado.

Exemplo de área de trabalho com a proteção contra a transferência de dados não autorizada ativada

Vamos usar um exemplo para ilustrar a proteção contra exfiltração de dados para espaços de trabalho Sinapse. A Contoso tem recursos do Azure no Locatário A e no Locatário B e há uma necessidade desses recursos para se conectar com segurança. Um espaço de trabalho Synapse foi criado no Locatário A com o Locatário B adicionado como um locatário aprovado do Microsoft Entra. O diagrama mostra conexões de ponto de extremidade privadas com contas de Armazenamento do Azure no Locatário A e no Locatário B que foram aprovadas pelos proprietários da conta de Armazenamento. O diagrama também mostra a criação do ponto final privado bloqueado. A criação desse ponto de extremidade privado foi bloqueada porque tinha como alvo uma conta de Armazenamento do Azure no locatário do Microsoft Entra da Fabrikam, que não é um locatário aprovado do Microsoft Entra para o espaço de trabalho da Contoso.

This diagram shows how data exfiltration protection is implemented for Synapse workspaces

Importante

Os recursos em locatários diferentes do locatário do espaço de trabalho não devem ter regras de firewall de bloqueio em vigor para que os pools SQL se conectem a eles. Os recursos dentro da rede virtual gerida da área de trabalho, como os clusters do Apache Spark, podem ligar-se através de ligações privadas geridas aos recursos protegidos pela firewall.

Passos Seguintes

Saiba como criar um espaço de trabalho com a proteção contra exfiltração de dados ativada

Saiba mais sobre a Rede Virtual do espaço de trabalho gerenciado

Saiba mais sobre endpoints privados gerenciados

Criar pontos de extremidade privados gerenciados para suas fontes de dados