Freigeben über

Was ist serverloses Ausgangssteuerelement?

  • Artikel

Wichtig

Dieses Feature befindet sich in der Public Preview.

In diesem Artikel wird erläutert, wie Sie ausgehende Netzwerkverbindungen von Ihren serverlosen Computeressourcen verwalten können.

Die Kontrolle über den serverlosen Ausgang stärkt Ihren Sicherheitsstatus, indem Sie ausgehende Verbindungen von Ihren serverlosen Workloads verwalten und das Risiko der Datenexfiltration verringern können.

Mithilfe von Netzwerkrichtlinien können Sie folgende Aktionen ausführen:

  • Erzwingen des Sicherheitsstatus für das standardmäßige Verweigern: Steuern des ausgehenden Zugriffs mit präziser Genauigkeit, indem für Verbindungen mit dem Internet, dem Cloudspeicher und der Databricks-API eine Richtlinie für das standardmäßige Verweigern aktiviert wird
  • Vereinfachen der Verwaltung: Definieren eines konsistenten Ausgangssteuerungsstatus für alle serverlosen Workloads für mehrere serverlose Produkte
  • Einfaches Verwalten im großen Stil: Zentrale Verwaltung Ihres Sicherheitsstatus in mehreren Arbeitsbereichen und Erzwingen einer Standardrichtlinie für Ihr Databricks-Konto.
  • Sicheres Rollout von Richtlinien: Minimieren Sie Risiken, indem Sie die Auswirkungen einer neuen Richtlinie im Trockenlaufmodus vor der vollständigen Durchsetzung auswerten.

Diese Vorschau unterstützt die folgenden serverlosen Produkte: Notizbücher, Workflows, SQL Warehouses, Delta Live Tables Pipelines, Mosaik AI Model Serving, Lakehouse Monitoring und Databricks Apps mit eingeschränkter Unterstützung.

Hinweis

Durch aktivieren von Ausgangsbeschränkungen für einen Arbeitsbereich wird verhindert, dass Databricks-Apps auf nicht autorisierte Ressourcen zugreifen. Die Implementierung von Ausgangsbeschränkungen kann sich jedoch auf die Anwendungsfunktionalität auswirken.

Übersicht über Netzwerkrichtlinien

Eine Netzwerkrichtlinie ist ein Konfigurationsobjekt, das auf Der Azure Databricks-Kontoebene angewendet wird. Während eine einzelne Netzwerkrichtlinie mehreren Azure Databricks-Arbeitsbereichen zugeordnet werden kann, kann jeder Arbeitsbereich jeweils nur mit einer Richtlinie verknüpft werden.

Netzwerkrichtlinien definieren den Netzwerkzugriffsmodus für serverlose Workloads innerhalb der zugehörigen Arbeitsbereiche. Es gibt zwei primäre Modi:

  • Vollzugriff: Serverlose Workloads haben uneingeschränkten ausgehenden Zugriff auf das Internet und andere Netzwerkressourcen.
  • Eingeschränkter Zugriff: Ausgehender Zugriff ist auf Folgendes beschränkt:
    • Unity-Katalogziele: Speicherorte und Verbindungen, die im Unity-Katalog konfiguriert sind, auf die über den Arbeitsbereich zugegriffen werden kann.
    • Explizit definierte Ziele: FQDNs und das Azure Storage-Konto werden in der Netzwerkrichtlinie aufgeführt.

Sicherheitsstatus

Wenn eine Netzwerkrichtlinie auf den eingeschränkten Zugriffsmodus festgelegt ist, werden ausgehende Netzwerkverbindungen von serverlosen Workloads streng kontrolliert.

Verhalten Einzelheiten
Standardmäßig ausgehende Konnektivität verweigern Serverlose Workloads haben nur Zugriff auf Folgendes: Ziele, die über Unity Catalog-Standorten oder -Verbindungen konfiguriert sind und die standardmäßig zulässig sind, FQDNs oder Speicherorte, die in der Richtlinie definiert sind, und die Workspace-APIs desselben Arbeitsbereichs wie die Workload. Der arbeitsbereichübergreifende Zugriff wurde verweigert.
Kein direkter Speicherzugriff Der direkte Zugriff von Benutzercode in UDFs und Notizbüchern ist unzulässig. Verwenden Sie stattdessen Databricks-Abstraktionen wie Unity Catalog oder DBFS-Bereitstellungen. DBFS-Bereitstellungen ermöglichen sicheren Zugriff auf Daten im Azure-Speicherkonto, das in der Netzwerkrichtlinie aufgeführt ist.
Implizit zulässige Ziele Sie können immer auf das Azure-Speicherkonto zugreifen, das Ihrem Arbeitsbereich, wesentlichen Systemtabellen und Beispieldatensätzen zugeordnet ist (schreibgeschützt).
Durchsetzung von Richtlinien für private Endpunkte Der ausgehende Zugriff über private Endpunkte unterliegt auch den in der Netzwerkrichtlinie definierten Regeln. Das Ziel muss entweder im Unity-Katalog aufgeführt sein oder in der Richtlinie. Dadurch wird eine konsistente Sicherheitserzwingung über alle Netzwerkzugriffsmethoden hinweg sichergestellt.