Azure 原則 Azure Synapse Analytics 的內建定義
此頁面是 Azure Synapse Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
Azure Synapse
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 Synapse 工作區上啟用稽核 | 應在 Synapse 工作區上啟用稽核,以追蹤專用 SQL 集區上所有資料庫的資料庫活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics 專用 SQL 集區應啟用加密 | 為 Azure Synapse Analytics 專用 SQL 集區啟用透明資料加密,以保護待用資料並符合合規性需求。 請注意,為集區啟用透明資料加密可能會影響查詢效能。 如需更多詳細資料,請參閱 https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse 工作區 SQL Server 應該執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure Synapse 工作區SQL 伺服器只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | Audit, Deny, Disabled | 1.1.0 |
| Azure Synapse 工作區應只允許傳送輸出資料流量到已核准的目標 | 僅允許將輸出資料流量傳送至核准的目標,藉此提高 Synapse 工作區的安全性。 這會先驗證目標再傳送資料,有助於防止資料外流。 | 稽核、停用、拒絕 | 1.0.0 |
| Azure Synapse 工作區應停用公用網路存取 | 停用公用網路存取可確保 Synapse 工作區不會在公用網際網路上公開,藉此改善安全性。 建立私人端點可能會限制您 Synapse 工作區的曝光。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來控制 Azure Synapse 工作區中所儲存資料的待用加密。 客戶管理的金鑰會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
| 設定 Azure Synapse 工作區專用 SQL 最小 TLS 版本 | 客戶可以使用 API 提高或降低新的 Synapse 工作區或現有工作區的 TLS 最低版本。 因此,需要在工作區使用較低用戶端版本的使用者可以進行連線,而具有安全性需求的使用者可以提高最低 TLS 版本。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | 修改、停用 | 1.1.0 |
| 設定 Azure Synapse 工作區以停用公用網路存取 | 停用 Synapse 工作區的公用網路存取,使其無法透過公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings。 | 修改、停用 | 1.0.0 |
| 使用私人端點設定 Azure Synapse 工作區 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將適用於 SQL 的 Microsoft Defender 設定為在 Synapse 工作區上啟用 | 在 Azure Synapse 工作區上啟用適用於 SQL 的 Microsoft Defender,以偵測異常活動,指出異常且可能有害的嘗試存取或利用 SQL 資料庫。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定 Synapse 工作區以啟用稽核 | 為了確保擷取到針對您 SQL 資產所執行的作業,Synapse 工作區應已啟用稽核。 有時候必須如此才能符合法規標準。 | DeployIfNotExists, Disabled | 2.0.0 |
| 將 Synapse 工作區設定為啟用 Log Analytics 工作區的稽核 | 為了確保擷取到針對您 SQL 資產所執行的作業,Synapse 工作區應已啟用稽核。 如果未啟用稽核,此原則會將稽核事件設定為流向指定的 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將 Synapse 工作區設定為僅使用 Microsoft Entra 身分識別進行驗證 | 要求和重新設定 Synapse 工作區使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的工作區。 確實會阻止本機驗證啟用,並在建立之後重新啟用資源上的僅限 Microsoft Entra 驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | 修改、停用 | 1.0.0 |
| 設定 Synapse 工作區在工作區建立期間僅使用 Microsoft Entra 身分識別進行驗證 | 要求和重新設定 Synapse 工作區使用僅限 Microsoft Entra 驗證進行建立。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | 修改、停用 | 1.2.0 |
| 針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Apache Spark 集區 (microsoft.synapse/workspaces/bigdatapools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Azure Synapse Analytics (microsoft.synapse/workspaces) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對專用 SQL 集區 (microsoft.synapse/workspaces/sqlpools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.synapse/workspaces/kustopools 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.synapse/workspaces/kustopools 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.synapse/workspaces/kustopools 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.synapse/workspaces/kustopools 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 microsoft.synapse/workspaces/kustopools 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 microsoft.synapse/workspaces/kustopools 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 SCOPE 集區 (microsoft.synapse/workspaces/scopepools) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SCOPE 集區 (microsoft.synapse/workspaces/scopepools) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 SCOPE 集區 (microsoft.synapse/workspaces/scopepools) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SCOPE 集區 (microsoft.synapse/workspaces/scopepools) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 針對 SCOPE 集區 (microsoft.synapse/workspaces/scopepools) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 SCOPE 集區 (microsoft.synapse/workspaces/scopepools) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
| 應移除 Azure Synapse 工作區上的 IP 防火牆規則 | 移除所有 IP 防火牆規則可確保您的 Azure Synapse 工作區只能從私人端點存取,藉此改善安全性。 此設定會審核防火牆規則的建立,以允許在工作區上使用公用網路存取。 | Audit, Disabled | 1.0.0 |
| 應該在 Azure Synapse 工作區中啟用受控工作區虛擬網路 | 啟用受控工作區虛擬網路可確保您的工作區與其他工作區之間的網路隔離。 在此虛擬網路中部署的資料整合和 Spark 資源也會提供 Spark 活動的使用者層級隔離。 | Audit, Deny, Disabled | 1.0.0 |
| 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
| Synapse 受控私人端點只能連線至已核准 Azure Active Directory 租用戶中的資源 | 藉由只允許連線到已核准 Azure Active Directory (Azure AD) 租用戶中的資源,來保護您的 Synapse 工作區。 您可以在原則指派期間定義核准的 Azure AD 租用戶。 | 稽核、停用、拒絕 | 1.0.0 |
| Synapse 工作區稽核設定應將動作群組設定為擷取重要活動 | 為了確保您的稽核記錄盡可能完整,AuditActionsAndGroups 屬性應包含所有相關的群組。 建議您至少新增 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 1.0.0 |
| Synapse 工作區應已啟用僅限 Microsoft Entra 驗證 | 要求 Synapse 工作區使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的工作區。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | Audit, Deny, Disabled | 1.0.0 |
| Synapse 工作區應在工作區建立期間只使用 Microsoft Entra 身分識別進行驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Synapse 工作區。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | Audit, Deny, Disabled | 1.2.0 |
| 對儲存體帳戶目的地進行 SQL 稽核的 Synapse 工作區保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 Synapse 工作區 SQL 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。