Sdílet prostřednictvím

Co je řízení výchozího přenosu dat bez serveru?

  • Článek

Důležité

Tato funkce je ve verzi Public Preview.

Tento článek vysvětluje, jak řízení odchozího přenosu dat bez serveru umožňuje spravovat odchozí síťová připojení z bezserverových výpočetních prostředků.

Řízení výchozího přenosu dat bez serveru posiluje stav zabezpečení tím, že umožňuje spravovat odchozí připojení z úloh bez serveru, což snižuje riziko exfiltrace dat.

Pomocí zásad sítě můžete:

  • Vynutit postoj výchozího odepření: Řídit odchozí přístup s vysokou přesností povolením politiky výchozího odepření pro připojení k internetu, cloudové úložiště a rozhraní Databricks API.
  • Zjednodušení správy: Definujte konzistentní stav řízení výchozího přenosu dat pro všechny bezserverové úlohy napříč několika bezserverovými produkty.
  • Snadná správa ve velkém měřítku: Centrálně spravujte nastavení ve více pracovních prostorech a vynucujte výchozí politiku pro databricksový účet.
  • zásady bezpečného zavedení: Zmírnění rizika vyhodnocením účinků všech nových zásad v režimu suchého spuštění před úplným vynucováním.

Tato verze podporuje následující bezserverové produkty: poznámkové bloky, pracovní postupy, úložiště SQL, kanály Delta Live Tables, obsluhu modelů Mosaic AI, monitorování Lakehouse a aplikace Databricks s omezenou podporou.

Poznámka

Povolení omezení výchozího přenosu dat v pracovním prostoru brání aplikacím Databricks v přístupu k neoprávněným prostředkům. Implementace omezení výchozího přenosu dat ale může ovlivnit funkčnost aplikace.

Přehled zásad sítě

Zásady sítě jsou objekt konfigurace použitý na úrovni účtu Azure Databricks. I když je možné přidružit jednu zásadu sítě k více pracovním prostorům Azure Databricks, každý pracovní prostor je možné propojit pouze s jednou zásadou najednou.

Zásady sítě definují režim síťového přístupu pro úlohy bez serveru v přidružených pracovních prostorech. Existují dva primární režimy:

  • Plný přístup: Bezserverové úlohy mají neomezený odchozí přístup k internetu a dalším síťovým prostředkům.
  • Omezený přístup: Odchozí přístup je omezený na:
    • Cíle katalogu Unity: Umístění a připojení konfigurovaná v rámci katalogu Unity, která jsou přístupná z pracovního prostoru.
    • Explicitně definovaní adresáti: Úplné názvy domén (FQDN) a účet úložiště Azure jsou uvedeny v síťových zásadách.

Postoj k zabezpečení

Pokud je zásada sítě nastavená na režim omezeného přístupu, jsou odchozí síťová připojení z bezserverových úloh pevně řízená.

Chování Podrobnosti
Odepřít ve výchozím nastavení odchozí připojení Bezserverové zátěže mají přístup pouze k následujícím cílům: cíle nastavené v umístěních katalogu Unity nebo připojení, která jsou ve výchozím nastavení povolena, FQDN nebo umístění úložiště definovaná v zásadách, a k API pracovního prostoru stejného místa jako zátěž. Přístup mezi pracovními prostory je odepřen.
Bez přímého přístupu k úložišti Přímý přístup z uživatelského kódu v uživatelem definovaných funkcích a poznámkových blocích je zakázán. Místo toho použijte abstrakce Databricks, jako je katalog Unity nebo připojení DBFS. Připojení DBFS umožňují zabezpečený přístup k datům v účtu úložiště Azure uvedené v zásadách sítě.
Implicitně povolené cíle K účtu úložiště Azure, který je propojen s vaším pracovním prostorem, můžete vždy přistupovat, stejně jako k základním systémovým tabulkám a ukázkovým datovým sadám (pouze pro čtení).
Vynucování zásad pro privátní koncové body Odchozí přístup prostřednictvím privátních koncových bodů podléhá také pravidlům definovaným v zásadách sítě. Cíl musí být uvedený buď v katalogu Unity, nebo v rámci zásad. Tím se zajistí konzistentní vynucování zabezpečení napříč všemi metodami přístupu k síti.