共用方式為


Azure Synapse Analytics 工作區的資料外流保護

本文將說明 Azure Synapse Analytics 中的資料外流保護

保護 Synapse 工作區中的資料輸出

Azure Synapse Analytics 工作區支援為工作區啟用資料外流保護。 使用外流保護,您可以防範惡意的測試人員存取您的 Azure 資源,並將敏感性資料外流到組織範圍以外的位置。 在工作區建立時,您可以選擇使用受控虛擬網路來設定工作區,以及針對資料外流設定額外的保護。 使用受控虛擬網路建立工作區時,資料整合和 Spark 資源會部署在受控虛擬網路中。 工作區的專用 SQL 集區和無伺服器 SQL 集區具有多租用戶功能,因此必須存在於受控虛擬網路之外。 針對具有資料外流保護的工作區,受控虛擬網路內的資源一律會透過受控私人端點進行通訊。 啟用資料外流保護時,因為輸入流量不受資料外流保護所控制,Synapse SQL 資源可以使用 OPENROWSETS 或 EXTERNAL TABLE 連線並查詢任何已授權的 Azure 儲存體。 不過,透過 CREATE EXTERNAL TABLE AS SELECT 的輸出流量將由資料外流保護所控制。

注意

在建立工作區之後,您無法變更受控虛擬網路和資料外流保護的工作區設定。

管理已核准目標的 Synapse 工作區資料輸出

在建立工作區並啟用資料外流保護之後,工作區資源的擁有者就可以管理工作區的已核准 Microsoft Entra 租用戶清單。 在工作區上具有適當權限的使用者可以使用 Synapse Studio,對工作區已核准 Microsoft Entra 租用戶中的資源建立受控私人端點連線要求。 如果使用者嘗試在未核准的租用戶中建立資源的私人端點連線,系統將會封鎖受控私人端點的建立。

已啟用資料外流保護的範例工作區

讓我們使用範例來說明 Synapse 工作區的資料外流保護。 Contoso 在租用戶 A 和租用戶 B 中具有 Azure 資源,而且這些資源需要安全地連線。 已在租用戶 A 中建立 Synapse 工作區,並將租用戶 B 新增為已核准的 Microsoft Entra 租用戶。 此圖表顯示租用戶 A 和租用戶 B 中 Azure 儲存體帳戶的私人端點連線,這些連線已由儲存體帳戶擁有者核准。 此圖表也會顯示已封鎖的私人端點建立作業。 已阻止此私人端點的建立,因為此私人端點的目標是 Fabrikam Microsoft Entra 租用戶中的 Azure 儲存體帳戶,但該租用戶不是 Contoso 工作區核准的 Microsoft Entra 租用戶。

This diagram shows how data exfiltration protection is implemented for Synapse workspaces

重要

非工作區租用戶中的資源不得具有就地封鎖防火牆規則,SQL 集區才能與其連線。 工作區受控虛擬網路內的資源 (例如 Spark 叢集),可以透過受控私人連結連線到防火牆保護的資源。

後續步驟

了解如何建立工作區並啟用資料外流保護

深入了解受控工作區虛擬網路

深入了解受控私人端點

建立資料來源的受控私人端點