Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Obszary robocze usługi Azure Synapse Analytics obsługują ochronę eksfiltracji danych dla obszarów roboczych. Dzięki ochronie przed eksfiltrowaniem można chronić przed złośliwymi pracownikami, którzy uzyskują dostęp do zasobów platformy Azure i wyprowadzają poufne dane do lokalizacji poza zakresem organizacji.
Zabezpieczanie wyprowadzenia danych z obszarów roboczych usługi Synapse
W momencie tworzenia obszaru roboczego można skonfigurować obszar roboczy za pomocą zarządzanej sieci wirtualnej i dodatkową ochronę przed eksfiltracją danych. Po utworzeniu obszaru roboczego za pomocą zarządzanej sieci wirtualnej integracja danych i zasoby platformy Spark są wdrażane w zarządzanej sieci wirtualnej. Dedykowane pule SQL i bezserwerowe pule SQL obszaru roboczego mają funkcjonalności dla wielu najemców i w związku z tym muszą istnieć poza zarządzaną siecią wirtualną.
W przypadku obszarów roboczych z ochroną eksfiltracji danych zasoby w zarządzanej sieci wirtualnej zawsze komunikują się za pośrednictwem zarządzanych prywatnych punktów końcowych. Po włączeniu ochrony przed eksfiltracją danych zasoby Synapse SQL mogą łączyć się z dowolną autoryzowaną usługą Azure Storage i wykonywać zapytania przy użyciu funkcji OPENROWSETS lub TABELI ZEWNĘTRZNEJ. Ochrona przed eksfiltracją danych nie kontroluje ruchu przychodzącego.
Jednak ochrona eksfiltracji danych kontroluje ruch wychodzący. Na przykład polecenie CREATE EXTERNAL TABLE AS SELECT lub użycie argumentu ERRORFILE w poleceniu COPY INTO w celu wyprowadzenia danych do zewnętrznego konta magazynu są blokowane. W związku z tym należy utworzyć zarządzany prywatny punkt końcowy dla docelowego konta magazynu, aby odblokować ruch wychodzący do niego.
Uwaga
Po utworzeniu obszaru roboczego nie można zmienić konfiguracji zarządzanej sieci wirtualnej i ochrony eksfiltracji danych.
Zarządzanie egresem danych w obszarze roboczym usługi Synapse do zatwierdzonych celów
Po utworzeniu obszaru roboczego z włączoną ochroną przed eksfiltracją danych właściciele zasobu w obszarze roboczym mogą zarządzać listą zatwierdzonych dzierżaw Microsoft Entra dla obszaru roboczego. Użytkownicy z odpowiednimi uprawnieniami w Obszarze Roboczym mogą używać programu Synapse Studio do zarządzania prywatnymi żądaniami połączeń do punktów końcowych z zasobami w zatwierdzonych dzierżawach Microsoft Entra. Tworzenie zarządzanego prywatnego punktu końcowego jest blokowane, jeśli użytkownik próbuje utworzyć połączenie prywatnego punktu końcowego z zasobem w niezatwierdzonej dzierżawie.
Przykładowy obszar roboczy z włączoną ochroną przed eksfiltracją danych
Rozważmy poniższy przykład ilustrujący ochronę eksfiltracji danych dla obszarów roboczych usługi Synapse. Firma o nazwie Contoso ma zasoby platformy Azure w dzierżawie A i dzierżawie B, a te zasoby muszą się bezpiecznie łączyć. Obszar roboczy usługi Synapse został utworzony w kliencie A, z dodanym klientem B jako zatwierdzonym klientem Microsoft Entra.
Na poniższym diagramie przedstawiono połączenia prywatnego punktu końcowego z kontami usługi Azure Storage w dzierżawie A i dzierżawie B zatwierdzone przez właścicieli kont magazynu. Diagram pokazuje również zablokowane tworzenie prywatnego punktu końcowego. Tworzenie tego prywatnego punktu końcowego zostało zablokowane, ponieważ dotyczyło konta usługi Azure Storage w dzierżawie Microsoft Entra firmy Fabrikam, która nie jest zatwierdzoną dzierżawą Microsoft Entra dla obszaru roboczego Contoso.
Ważne
Zasoby dzierżawców innych niż tenant obszaru roboczego nie powinny mieć reguł zapory sieciowej, które blokują połączenie z pulami SQL. Zasoby w zarządzanej sieci wirtualnej obszaru roboczego, takie jak klastry Spark, mogą łączyć się za pośrednictwem zarządzanych łączy prywatnych z zasobami chronionymi przez zaporę.