Criteri di Azure definizioni predefinite per Azure Synapse Analytics
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Azure Synapse. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Azure Synapse
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il controllo nell'area di lavoro di Synapse deve essere abilitato | Il controllo nell'area di lavoro di Synapse deve essere abilitato per tenere traccia delle attività del database in tutti i database nei pool SQL dedicati e salvarli in un log di controllo. | AuditIfNotExists, Disabled | 1.0.0 |
| I pool SQL dedicati di Azure Synapse Analytics devono abilitare la crittografia | Abilitare Transparent Data Encryption per i pool SQL dedicati di Azure Synapse Analytics per proteggere i dati inattivi e soddisfare i requisiti di conformità. Si noti che l'abilitazione di Transparent Data Encryption per il pool può influire sulle prestazioni delle query. Altri dettagli possono fare riferimento a https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| Sql Server dell'area di lavoro di Azure Synapse deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che il server SQL dell'area di lavoro di Azure Synapse sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Deny, Disabled | 1.1.0 |
| Le aree di lavoro di Azure Synapse devono consentire il traffico dei dati in uscita solo alle destinazioni approvate | Aumentare la sicurezza dell'area di lavoro synapse consentendo il traffico dei dati in uscita solo alle destinazioni approvate. Ciò consente di prevenire l'esfiltrazione dei dati convalidando la destinazione prima di inviare dati. | Audit, Disabled, Deny | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro di Synapse non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro di Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Configurare la versione minima DI TLS per l'area di lavoro di Azure Synapse | I clienti possono generare o ridurre la versione minima di TLS usando l'API, sia per le nuove aree di lavoro di Synapse che per le aree di lavoro esistenti. Gli utenti che devono usare una versione client inferiore nelle aree di lavoro possono quindi connettersi mentre gli utenti con requisiti di sicurezza possono aumentare la versione minima di TLS. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificare, Disabilitata | 1.1.0 |
| Configurare le aree di lavoro di Azure Synapse per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'area di lavoro di Synapse in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificare, Disabilitata | 1.0.0 |
| Configurare le aree di lavoro di Azure Synapse con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Synapse, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per SQL per l'abilitazione nelle aree di lavoro di Synapse | Abilitare Microsoft Defender per SQL nelle aree di lavoro di Azure Synapse per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database SQL. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo che il controllo sia abilitato | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Ciò è talvolta necessario per la conformità agli standard normativi. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le aree di lavoro di Synapse in modo che il controllo sia abilitato per l'area di lavoro Log Analytics | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione | Richiedere e riconfigurare le aree di lavoro di Synapse per l'uso dell'autenticazione solo Entra-only di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale e la riattivazione dell'autenticazione solo Entra-only per le risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Modificare, Disabilitata | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere e riconfigurare le aree di lavoro di Synapse da creare con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Modificare, Disabilitata | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) nell'hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool scope (microsoft.synapse/workspaces/scopepools) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool scope (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool di ambito (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i pool scope (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Le regole del firewall IP nelle aree di lavoro Azure Synapse devono essere rimosse | La rimozione di tutte le regole del firewall IP migliora la sicurezza, in quanto garantisce che all'area di lavoro di Azure Synapse sia possibile accedere solo da un endpoint privato. Questa configurazione controlla la creazione di regole del firewall che consentono l'accesso alla rete pubblica nell'area di lavoro. | Audit, Disabled | 1.0.0 |
| La rete virtuale dell'area di lavoro gestita deve essere abilitata nelle aree di lavoro Azure Synapse | L'abilitazione di una rete virtuale dell'area di lavoro gestita garantisce che l'area di lavoro sia isolata da altre aree di lavoro in rete. L'integrazione dei dati e le risorse di Spark distribuite in questa rete virtuale fornisce anche l'isolamento a livello di utente per le attività di Spark. | Audit, Deny, Disabled | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli endpoint privati gestiti da Synapse devono connettersi solo alle risorse nei tenant di Azure Active Directory approvati | Protegge l'area di lavoro Synapse consentendo solo connessioni alle risorse nei tenant di Azure Active Directory (Azure AD) approvati. I tenant di Azure AD approvati possono essere definiti durante l'assegnazione dei criteri. | Audit, Disabled, Deny | 1.0.0 |
| Le impostazioni di controllo dell'area di lavoro synapse devono avere gruppi di azioni configurati per acquisire attività critiche | Per assicurarsi che i log di controllo siano il più accurato possibile, la proprietà AuditActionsAndGroups deve includere tutti i gruppi pertinenti. È consigliabile aggiungere almeno SUCCESSFUL_DATABA edizione Standard_AUTHENTICATION_GROUP, FAILED_DATABA edizione Standard_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le aree di lavoro di Synapse deve essere abilitata l'autenticazione solo Entra di Microsoft | Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Synapse devono usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
| Le aree di lavoro di Synapse con il controllo SQL nella destinazione dell'account di archiviazione devono essere configurate con conservazione di 90 giorni o superiore | Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo SQL dell'area di lavoro di Synapse sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 2.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro di Synapse | Individuare, tenere traccia e correggere le potenziali vulnerabilità configurando analisi ricorrenti della valutazione delle vulnerabilità DI SQL nelle aree di lavoro di Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.