Dataexfiltreringsskydd för Azure Synapse Analytics-arbetsytor
Den här artikeln förklarar dataexfiltreringsskydd i Azure Synapse Analytics
Skydda utgående data från Synapse-arbetsytor
Azure Synapse Analytics-arbetsytor stöder aktivering av dataexfiltreringsskydd för arbetsytor. Med exfiltreringsskydd kan du skydda dig mot hot från insidan som kommer åt dina Azure-resurser och skickar känsliga data till platser utanför organisationen. När arbetsytan skapas kan du välja att konfigurera arbetsytan med ett hanterat virtuellt nätverk och ytterligare skydd mot dataexfiltrering. När en arbetsyta skapas med ett hanterat virtuellt nätverk distribueras dataintegrering och Spark-resurser i det hanterade virtuella nätverket. Arbetsytans dedikerade SQL-pooler och serverlösa SQL-pooler har funktioner för flera klientorganisationer och måste därför finnas utanför det hanterade virtuella nätverket. För arbetsytor med dataexfiltreringsskydd kommunicerar resurser i det hanterade virtuella nätverket alltid via hanterade privata slutpunkter. När dataexfiltreringsskydd är aktiverat kan Synapse SQL-resurser ansluta till och köra frågor mot alla auktoriserade Azure Storage med OPENROWSETS eller EXTERN TABELL, eftersom inkommande trafik inte styrs av dataexfiltreringsskyddet. Utgående trafik via CREATE EXTERNAL TABLE AS SELECT styrs dock av dataexfiltreringsskyddet.
Kommentar
Du kan inte ändra arbetsytans konfiguration för hanterat virtuellt nätverk och dataexfiltreringsskydd när arbetsytan har skapats.
Hantera Utgående data för Synapse-arbetsytan till godkända mål
När arbetsytan har skapats med dataexfiltreringsskydd aktiverat kan ägarna till arbetsyteresursen hantera listan över godkända Microsoft Entra-klienter för arbetsytan. Användare med rätt behörigheter på arbetsytan kan använda Synapse Studio för att skapa hanterade privata slutpunktsanslutningsbegäranden till resurser i arbetsytans godkända Microsoft Entra-klientorganisationer. Skapande av hanterade privata slutpunkter blockeras om användaren försöker skapa en privat slutpunktsanslutning till en resurs i en icke-godkänd klientorganisation.
Exempelarbetsyta med dataexfiltreringsskydd aktiverat
Låt oss använda ett exempel för att illustrera dataexfiltreringsskydd för Synapse-arbetsytor. Contoso har Azure-resurser i klientorganisation A och klient B och det finns ett behov av att dessa resurser ansluter på ett säkert sätt. En Synapse-arbetsyta har skapats i Klient A med klient B tillagd som en godkänd Microsoft Entra-klientorganisation. Diagrammet visar privata slutpunktsanslutningar till Azure Storage-konton i Klient A och Klient B som har godkänts av lagringskontoägarna. Diagrammet visar också hur skapandet av privat slutpunkt blockeras. Skapandet av den här privata slutpunkten blockerades när det riktades mot ett Azure Storage-konto i Fabrikam Microsoft Entra-klientorganisationen, som inte är en godkänd Microsoft Entra-klient för Contosos arbetsyta.
Viktigt!
Andra resurser i klientorganisationer än arbetsytans klient får inte ha blockerande brandväggsregler på plats för att SQL-poolerna ska kunna ansluta till dem. Resurser i arbetsytans hanterade virtuella nätverk, till exempel Spark-kluster, kan ansluta via hanterade privata länkar till brandväggsskyddade resurser.
Nästa steg
Lär dig hur du skapar en arbetsyta med dataexfiltreringsskydd aktiverat
Läs mer om virtuellt nätverk för hanterad arbetsyta
Läs mer om hanterade privata slutpunkter