Compartir vía

¿Qué es el control de salida sin servidor?

  • Artículo

Importante

Esta característica está en versión preliminar pública.

En este artículo se explica cómo el control de salida sin servidor permite administrar las conexiones de red salientes desde los recursos de proceso sin servidor.

El control de salida sin servidor refuerza la posición de seguridad al permitirle administrar las conexiones salientes de las cargas de trabajo sin servidor, lo que reduce el riesgo de filtración de datos.

Con las directivas de red, puede hacer lo siguiente:

  • Aplicar la posición de denegación por defecto: controlar el acceso saliente con precisión granular habilitando una directiva de denegación por defecto para las conexiones de internet, almacenamiento en la nube y API de Databricks.
  • Simplificar la administración: defina una política de control de egreso coherente para todas las cargas de trabajo sin servidor en varias soluciones sin servidor.
  • Gestionar fácilmente a escala: Administre centralizadamente su configuración en múltiples espacios de trabajo y aplique una política predeterminada para su cuenta de Databricks.
  • directivas de implementación segura: mitigue el riesgo mediante la evaluación de los efectos de cualquier nueva directiva en modo de ejecución seca antes de la aplicación completa.

Esta versión preliminar admite los siguientes productos sin servidor: cuadernos, flujos de trabajo, almacenes de SQL, canalizaciones de Delta Live Tables, Servicio de modelos de IA de Mosaico, Supervisión de Lakehouse y Aplicaciones de Databricks con compatibilidad limitada.

Nota:

La habilitación de restricciones de salida en un área de trabajo impide que Las aplicaciones de Databricks accedan a recursos no autorizados. Sin embargo, la implementación de restricciones de salida podría afectar a la funcionalidad de la aplicación.

Introducción a la directiva de red

Una directiva de red es un objeto de configuración aplicado en el nivel de cuenta de Azure Databricks. Aunque una sola directiva de red se puede asociar a varias áreas de trabajo de Azure Databricks, cada área de trabajo solo se puede vincular a una directiva cada vez.

Las directivas de red definen el modo de acceso de red para cargas de trabajo sin servidor dentro de las áreas de trabajo asociadas. Hay dos modos principales:

  • Acceso total: las cargas de trabajo sin servidor tienen acceso saliente sin restricciones a Internet y a otros recursos de red.
  • Acceso restringido: el acceso saliente está limitado a:
    • Destinos del catálogo de Unity: ubicaciones y conexiones configuradas en el catálogo de Unity que son accesibles desde el área de trabajo.
    • Destinos definidos explícitamente: los FQDN y la cuenta de almacenamiento de Azure aparecen en la directiva de red.

Posición de seguridad

Cuando una directiva de red se establece en modo de acceso restringido, las conexiones de red salientes de las cargas de trabajo sin servidor se controlan estrechamente.

Comportamiento Detalles
Denegar de forma predeterminada la conectividad saliente Las cargas de trabajo sin servidor solo tienen acceso a lo siguiente: destinos configurados a través de ubicaciones o conexiones del catálogo de Unity que se permiten de forma predeterminada, FQDN o ubicaciones de almacenamiento definidas en la directiva y las API del área de trabajo del mismo área de trabajo que la carga de trabajo. Se deniega el acceso entre áreas de trabajo.
Sin acceso directo al almacenamiento Se prohíbe el acceso directo desde el código de usuario en UDF y cuadernos. En su lugar, use abstracciones de Databricks como los montajes de Catálogo de Unity o DBFS. Los montajes DBFS permiten el acceso seguro a los datos de la cuenta de almacenamiento de Azure enumerados en la directiva de red.
Destinos permitidos implícitamente Siempre puede acceder a la cuenta de Almacenamiento de Azure asociada con el área de trabajo, las tablas esenciales del sistema y los conjuntos de datos de ejemplo (solo lectura).
Aplicación de directivas para puntos de conexión privados El acceso saliente a través de puntos de conexión privados también está sujeto a las reglas definidas en la directiva de red. El destino debe aparecer en el Catálogo de Unity o en la directiva. Esto garantiza una aplicación de seguridad coherente en todos los métodos de acceso a la red.