Inbyggda Azure Policy-definitioner för Azure Synapse Analytics
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Synapse. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Synapse
Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Granskning på Synapse-arbetsytan ska vara aktiverad | Granskning på Synapse-arbetsytan bör aktiveras för att spåra databasaktiviteter i alla databaser i de dedikerade SQL-poolerna och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 1.0.0 |
Dedikerade SQL-pooler i Azure Synapse Analytics bör aktivera kryptering | Aktivera transparent datakryptering för dedikerade SQL-pooler i Azure Synapse Analytics för att skydda vilande data och uppfylla efterlevnadskraven. Observera att aktivering av transparent datakryptering för poolen kan påverka frågeprestanda. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Synapse Workspace SQL Server ska köra TLS version 1.2 eller senare | Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure Synapse-arbetsytas SQL-server endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. | Granska, neka, inaktiverad | 1.1.0 |
Azure Synapse-arbetsytor bör endast tillåta utgående datatrafik till godkända mål | Öka säkerheten för din Synapse-arbetsyta genom att endast tillåta utgående datatrafik till godkända mål. Detta hjälper till att förhindra dataexfiltrering genom att verifiera målet innan data skickas. | Granska, inaktiverad, Neka | 1.0.0 |
Azure Synapse-arbetsytor bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att synapse-arbetsytan inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för dina Synapse-arbetsytor. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Granska, neka, inaktiverad | 1.0.0 |
Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
Konfigurera Azure Synapse Workspace Dedicated SQL minsta TLS-version | Kunder kan höja eller sänka den lägsta TLS-versionen med hjälp av API:et för både nya Synapse-arbetsytor eller befintliga arbetsytor. Användare som behöver använda en lägre klientversion på arbetsytorna kan ansluta medan användare som har säkerhetskrav kan höja lägsta TLS-version. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ändra, inaktiverad | 1.1.0 |
Konfigurera Azure Synapse-arbetsytor för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för synapse-arbetsytan så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ändra, inaktiverad | 1.0.0 |
Konfigurera Azure Synapse-arbetsytor med privata slutpunkter | Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytor kan du minska risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, inaktiverad | 1.0.0 |
Konfigurera att Microsoft Defender för SQL ska aktiveras på Synapse-arbetsytor | Aktivera Microsoft Defender för SQL på dina Azure Synapse-arbetsytor för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja SQL-databaser. | DeployIfNotExists, inaktiverad | 1.0.0 |
Konfigurera Synapse-arbetsytor så att granskning är aktiverat | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör Synapse-arbetsytor ha granskning aktiverat. Detta krävs ibland för efterlevnad av regelstandarder. | DeployIfNotExists, inaktiverad | 2.0.0 |
Konfigurera Synapse-arbetsytor så att granskning är aktiverat på Log Analytics-arbetsytan | För att säkerställa att de åtgärder som utförs mot dina SQL-tillgångar registreras bör Synapse-arbetsytor ha granskning aktiverat. Om granskning inte är aktiverat konfigurerar den här principen granskningshändelser så att de flödar till den angivna Log Analytics-arbetsytan. | DeployIfNotExists, inaktiverad | 1.0.0 |
Konfigurera Synapse-arbetsytor så att de endast använder Microsoft Entra-identiteter för autentisering | Kräv och konfigurera om Synapse-arbetsytor för att använda Endast Microsoft Entra-autentisering. Den här principen blockerar inte arbetsytor från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras och återaktiver Endast Microsoft Entra-autentisering på resurser efter att de har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Ändra, inaktiverad | 1.0.0 |
Konfigurera Synapse-arbetsytor så att de endast använder Microsoft Entra-identiteter för autentisering när arbetsytan skapas | Kräv och konfigurera om Synapse-arbetsytor som ska skapas med Endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Ändra, inaktiverad | 1.2.0 |
Aktivera loggning efter kategorigrupp för Apache Spark-pooler (microsoft.synapse/arbetsytor/bigdatapooler) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Apache Spark-pooler (microsoft.synapse/arbetsytor/bigdatapooler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Apache Spark-pooler (microsoft.synapse/arbetsytor/bigdatapooler) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Apache Spark-pooler (microsoft.synapse/arbetsytor/bigdatapooler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Apache Spark-pooler (microsoft.synapse/arbetsytor/bigdatapooler) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Apache Spark-pooler (microsoft.synapse/arbetsytor/bigdatapooler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Synapse Analytics (microsoft.synapse/workspaces) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för Azure Synapse Analytics (microsoft.synapse/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Synapse Analytics (microsoft.synapse/workspaces) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Azure Synapse Analytics (microsoft.synapse/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för Azure Synapse Analytics (microsoft.synapse/workspaces) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för Azure Synapse Analytics (microsoft.synapse/arbetsytor). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för dedikerade SQL-pooler (microsoft.synapse/workspaces/sqlpools) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för dedikerade SQL-pooler (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för dedikerade SQL-pooler (microsoft.synapse/workspaces/sqlpools) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för dedikerade SQL-pooler (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för dedikerade SQL-pooler (microsoft.synapse/workspaces/sqlpools) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för dedikerade SQL-pooler (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.synapse/workspaces/kustopools till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för microsoft.synapse/arbetsytor/kustopooler. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.synapse/workspaces/kustopools till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för microsoft.synapse/arbetsytor/kustopooler. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för microsoft.synapse/workspaces/kustopools till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för microsoft.synapse/arbetsytor/kustopooler. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för SCOPE-pooler (microsoft.synapse/workspaces/scopepools) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för SCOPE-pooler (microsoft.synapse/arbetsytor/scopepooler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för SCOPE-pooler (microsoft.synapse/workspaces/scopepools) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för SCOPE-pooler (microsoft.synapse/arbetsytor/scopepooler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
Aktivera loggning efter kategorigrupp för SCOPE-pooler (microsoft.synapse/workspaces/scopepools) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för SCOPE-pooler (microsoft.synapse/arbetsytor/scopepooler). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
IP-brandväggsregler på Azure Synapse-arbetsytor bör tas bort | Om du tar bort alla IP-brandväggsregler förbättras säkerheten genom att säkerställa att din Azure Synapse-arbetsyta endast kan nås från en privat slutpunkt. Den här konfigurationen granskar skapandet av brandväggsregler som tillåter åtkomst till offentliga nätverk på arbetsytan. | Granskning, inaktiverad | 1.0.0 |
Det virtuella nätverket för hanterade arbetsytor på Azure Synapse-arbetsytor ska vara aktiverat | Om du aktiverar ett virtuellt nätverk för hanterade arbetsytor ser du till att arbetsytan är nätverksisolerad från andra arbetsytor. Dataintegrering och Spark-resurser som distribueras i det här virtuella nätverket ger också isolering på användarnivå för Spark-aktiviteter. | Granska, neka, inaktiverad | 1.0.0 |
Microsoft Defender för SQL ska vara aktiverat för oskyddade Synapse-arbetsytor | Aktivera Defender för SQL för att skydda dina Synapse-arbetsytor. Defender för SQL övervakar din Synapse SQL för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Synapse-hanterade privata slutpunkter bör endast ansluta till resurser i godkända Azure Active Directory-klienter | Skydda din Synapse-arbetsyta genom att endast tillåta anslutningar till resurser i godkända Azure Active Directory-klienter (Azure AD). Godkända Azure AD-klienter kan definieras under principtilldelningen. | Granska, inaktiverad, Neka | 1.0.0 |
Synapse-arbetsytans granskningsinställningar bör ha åtgärdsgrupper konfigurerade för att samla in kritiska aktiviteter | För att säkerställa att granskningsloggarna är så noggranna som möjligt bör egenskapen AuditActionsAndGroups innehålla alla relevanta grupper. Vi rekommenderar att du lägger till minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP och BATCH_COMPLETED_GROUP. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 1.0.0 |
Synapse-arbetsytor ska ha Microsoft Entra-endast autentisering aktiverat | Kräv att Synapse-arbetsytor använder Endast Microsoft Entra-autentisering. Den här principen blockerar inte arbetsytor från att skapas med lokal autentisering aktiverad. Den blockerar lokal autentisering från att aktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Granska, neka, inaktiverad | 1.0.0 |
Synapse-arbetsytor bör endast använda Microsoft Entra-identiteter för autentisering när arbetsytan skapas | Kräv att Synapse-arbetsytor skapas med endast Microsoft Entra-autentisering. Den här principen blockerar inte lokal autentisering från att återaktiveras på resurser efter att den har skapats. Överväg att använda initiativet "Endast Microsoft Entra-autentisering" i stället för att kräva båda. Läs mer på: https://aka.ms/Synapse. | Granska, neka, inaktiverad | 1.2.0 |
Synapse-arbetsytor med SQL-granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för din Synapse-arbetsytas SQL-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 2.0.0 |
Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor | Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. | AuditIfNotExists, inaktiverad | 1.0.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.