Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Рабочие области Azure Synapse Analytics поддерживают защиту от утечки данных. Защита от кражи данных предотвращает вывод конфиденциальных сведений за пределы организации внутренними злоумышленниками, у которых есть доступ к вашим ресурсам Azure.
Обеспечение безопасности исходящих данных из рабочих областей Synapse
При создании рабочей области вы можете добавить в нее управляемую виртуальную сеть и дополнительную защиту от кражи данных. При создании рабочей области с управляемой виртуальной сетью ресурсы интеграции данных и Spark развертываются в управляемой виртуальной сети. Выделенные пулы SQL рабочей области и бессерверные пулы SQL имеют мультитенантные возможности, и поэтому должны находиться вне управляемой виртуальной сети.
Для рабочих областей с защитой от кражи данных ресурсы в управляемой виртуальной сети всегда взаимодействуют через управляемые частные конечные точки. Если включена защита от кражи данных, ресурсы Synapse SQL могут подключаться к любому авторизованному Azure Storage и запрашивать данные с использованием OPENROWSETS или EXTERNAL TABLE. Защита от кражи данных не управляет трафиком входящего трафика.
Однако защита от кражи данных управляет исходящим трафиком. Например, СОЗДАНИЕ ВНЕШНЕЙ ТАБЛИЦЫ AS SELECT или использование аргумента ERRORFILE в команде COPY INTO для вывода данных во внешнюю учетную запись хранения блокируются. Поэтому необходимо создать управляемую частную конечную точку для целевой учетной записи хранения, чтобы разблокировать исходящий трафик к нему.
Примечание.
Вы не можете изменить конфигурацию рабочей области для управляемой виртуальной сети и защиты от кражи данных после создания рабочей области.
Управление выгрузкой данных рабочей области Synapse в утвержденные цели
После создания рабочей области с включенной защитой от кражи данных владельцы ресурса рабочей области могут управлять списком утвержденных клиентов Microsoft Entra для рабочей области. Пользователи с правильными разрешениями в рабочей области могут использовать Synapse Studio для создания запросов на подключение управляемых частных конечных точек к ресурсам в утвержденных клиентах Microsoft Entra рабочей области. Создание администрируемой частной конечной точки блокируется, если пользователь пытается создать подключение к ресурсу в непроверенном арендаторе.
Пример рабочей области с включенной защитой от кражи данных
Рассмотрим следующий пример, демонстрирующий защиту от кражи данных для рабочих областей Synapse. Компания под названием Contoso имеет ресурсы Azure в клиенте A и клиенте B, и необходимо обеспечить безопасное подключение этих ресурсов. Рабочая область Synapse была создана в клиенте A с клиентом B, добавленным в качестве утвержденного клиента Microsoft Entra.
На следующей схеме показаны подключения частных конечных точек к учетным записям хранилища Azure в клиенте A и клиенте B, которые утверждены владельцами этих учетных записей хранения. На диаграмме также показано создание заблокированной частной конечной точки. Создание этой частной конечной точки было заблокировано, так как она нацелена на учетную запись службы хранения Azure, который относится к клиенту Fabrikam Microsoft Entra и не является утвержденным клиентом Microsoft Entra для рабочей области Contoso.
Внимание
Ресурсы в клиентах, отличных от клиента рабочей области, не могут иметь правила брандмауэра, которые запрещают подключение к пулам SQL. Ресурсы в управляемой виртуальной сети рабочей области, такие как кластеры Spark, могут подключаться через управляемые частные каналы к защищенным брандмауэром ресурсам.