适用于 Azure Synapse Analytics 的 Azure Policy 内置策略定义
本页是适用于 Azure Synapse 的 Azure Policy内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure Synapse
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用 Synapse 工作区上的审核 | 应启用 Synapse 工作区上的审核,以跟踪专用 SQL 池中所有数据库的数据库活动,并将它们保存在审核日志中。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Synapse 工作区 SQL Server 应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure Synapse 工作区 SQL server,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Synapse 工作区应该只允许传送到已批准目标的出站数据流量 | 通过只允许传送到已批准目标的出站数据流量来提升 Synapse 工作区的安全性。 此做法会在发送数据之前验证目标,有助于防止数据外泄。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure Synapse 工作区应禁用公用网络访问 | 禁用公用网络访问可确保 Synapse 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Synapse 工作区公开。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| 配置 Azure Synapse 工作区专用 SQL 最低 TLS 版本 | 对于新的 Synapse 工作区或现有的工作区,客户可以使用 API 提高或降低最低 TLS 版本。 因此,需要在工作区中使用较低客户端版本的用户可以连接,而具有安全要求的用户可以提高最低 TLS 版本。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.1.0 |
| 将 Azure Synapse 工作区配置为禁用公用网络访问 | 禁用对 Synapse 工作区的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/connectivity-settings。 | 修改,已禁用 | 1.0.0 |
| 为 Azure Synapse 工作区配置专用终结点 | 专用终结点可在源或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.azure.cn/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Microsoft Defender for SQL 配置为在 Synapse 工作区上启用 | 在 Azure Synapse 工作区上启用 Microsoft Defender for SQL 可检测异常活动,这些活动表明 SQL 数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Synapse 工作区配置为启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 为了符合监管标准,有时需要这样做。 | DeployIfNotExists、Disabled | 2.0.0 |
| 将 Synapse 工作区配置为对 Log Analytics 工作区启用审核 | 为了确保捕获针对 SQL 资产执行的操作,应让 Synapse 工作区启用审核。 如果未启用审核,此策略会将审核事件配置为流向指定的 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Synapse 工作区配置为仅使用 Microsoft Entra 标识进行身份验证 | 要求并重新配置 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它会阻止启用本地身份验证,并在创建资源后重新启用纯 Microsoft Entra 身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | 修改,已禁用 | 1.0.0 |
| 配置 Synapse 工作区在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求并重新配置使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | 修改,已禁用 | 1.2.0 |
| 应删除 Azure Synapse 工作区上的 IP 防火墙规则 | 删除所有 IP 防火墙规则可确保只能从专用终结点访问 Azure Synapse 工作区,从而提高安全性。 此配置会对创建允许公用网络访问工作区的防火墙规则进行审核。 | Audit、Disabled | 1.0.0 |
| 应启用 Azure Synapse 工作区上的托管工作区虚拟网络 | 启用托管工作区虚拟网络可确保你的工作区网络与其他工作区隔离。 在此虚拟网络中部署的数据集成和 Spark 资源还为 Spark 活动提供了用户级隔离。 | Audit、Deny、Disabled | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse 托管专用终结点应仅连接到已批准的 Azure Active Directory 租户中的资源 | 仅允许连接到已批准的 Azure Active Directory (Azure AD) 租户中的资源,以保护 Synapse 工作区。 可以在策略分配过程中定义已批准的 Azure AD 租户。 | 审核、已禁用、拒绝 | 1.0.0 |
| Synapse 工作区审核设置应配置操作组来捕获关键活动 | 为了确保审核日志尽可能全面,应让 AuditActionsAndGroups 属性包含所有相关的组。 建议至少添加 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP 和 BATCH_COMPLETED_GROUP。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 1.0.0 |
| Synapse 工作区应该启用纯 Microsoft Entra 身份验证 | 要求 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse 工作区应在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 | Audit、Deny、Disabled | 1.2.0 |
| 对存储帐户目标进行 SQL 审核的 Synapse 工作区应配置有 90 天或更高的保留期 | 为便于调查事件,我们建议将对存储帐户目标进行 SQL 审核的 Synapse 工作区保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。