Protezione dall'esfiltrazione di dati per le aree di lavoro di Azure Synapse Analytics

Le aree di lavoro di Azure Synapse Analytics supportano la protezione dell'esfiltrazione dei dati per le aree di lavoro. Con la protezione dell'esfiltrazione, è possibile proteggersi da utenti malintenzionati che accedono alle risorse di Azure ed esfiltrano i dati sensibili in posizioni esterne all'ambito dell'organizzazione.

Proteggere i dati in uscita dalle aree di lavoro di Synapse

Al momento della creazione dell'area di lavoro, è possibile scegliere di configurarla con una rete virtuale gestita e una protezione aggiuntiva contro l'esfiltrazione dei dati. Quando un'area di lavoro viene creata con una rete virtuale gestita, l'integrazione dei dati e le risorse Spark vengono distribuite nella rete virtuale gestita. I pool SQL dedicati dell'area di lavoro e i pool SQL serverless dispongono di funzionalità multi-tenant e, di conseguenza, devono esistere all'esterno della rete virtuale gestita.

Per le aree di lavoro con protezione dall'esfiltrazione di dati, le risorse nella rete virtuale gestita comunicano sempre tramite endpoint privati gestiti. Quando la protezione dell'esfiltrazione dei dati è abilitata, le risorse Synapse SQL possono connettersi ed eseguire query su qualsiasi Archiviazione di Azure autorizzato usando OPENROWSETS o EXTERNAL TABLE. La protezione dell'esfiltrazione dei dati non controlla il traffico in ingresso.

Tuttavia, la protezione dell'esfiltrazione dei dati controlla il traffico in uscita. Ad esempio, CREATE EXTERNAL TABLE AS SELECT o l'uso dell'argomento ERRORFILE nel comando COPY INTO per l'output dei dati nell'account di archiviazione esterno vengono bloccati. È quindi necessario creare un endpoint privato gestito per l'account di archiviazione di destinazione per sbloccare il traffico in uscita verso di esso.

Gestire l'uscita dei dati dell'area di lavoro di Synapse alle destinazioni approvate

Dopo aver creato l'area di lavoro con protezione dall'esfiltrazione di dati abilitata, i proprietari della risorsa dell'area di lavoro possono gestire l'elenco dei tenant Microsoft Entra approvati per l'area di lavoro. Gli utenti con le autorizzazioni appropriate per l'area di lavoro possono usare Synapse Studio per creare richieste di connessione endpoint privato gestito alle risorse nei tenant Microsoft Entra approvati dell'area di lavoro. La creazione di endpoint privati gestiti viene bloccata se l'utente tenta di creare una connessione endpoint privato a una risorsa in un tenant non approvato.

Area di lavoro di esempio con protezione dall'esfiltrazione dati abilitata

Si consideri l'esempio seguente che illustra la protezione dell'esfiltrazione dei dati per le aree di lavoro synapse. Una società denominata Contoso ha risorse di Azure nel tenant A e nel tenant B ed è necessario che queste risorse si connettano in modo sicuro. È stata creata un'area di lavoro di Synapse nel tenant A, con il tenant B aggiunto come tenant Microsoft Entra approvato.

Il diagramma seguente illustra le connessioni dell'endpoint privato agli account Archiviazione di Azure nel tenant A e nel tenant B approvati dai proprietari dell'account di archiviazione. Il diagramma mostra anche la creazione di endpoint privati bloccati. La creazione di questo endpoint privato è stata bloccata perché ha come destinazione un account Archiviazione di Azure nel tenant di Fabrikam Microsoft Entra, che non è un tenant Di Microsoft Entra approvato per l'area di lavoro di Contoso.

Contenuto correlato

• Creare un'area di lavoro con protezione dall'esfiltrazione dei dati abilitata
• Rete virtuale gestita da Azure Synapse Analytics
• Endpoint privati gestiti di Azure Synapse Analytics
• Creare un endpoint privato gestito per l'origine dati