Partager via

Qu’est-ce que le contrôle de sortie serverless ?

  • Article

Important

Cette fonctionnalité est disponible en préversion publique.

Cet article explique comment le contrôle de sortie serverless vous permet de gérer les connexions réseau sortantes à partir de vos ressources de calcul serverless.

Le contrôle de sortie serverless renforce votre posture de sécurité en vous permettant de gérer les connexions sortantes à partir de vos charges de travail serverless, ce qui réduit le risque d’exfiltration des données.

À l’aide de stratégies réseau, vous pouvez :

  • Appliquer la posture de refus par défaut: contrôlez l’accès sortant avec une précision granulaire en activant une stratégie de refus par défaut pour les connexions d’API Internet, de stockage cloud et de Databricks.
  • Simplifier la gestion: définissez une stratégie de contrôle de sortie cohérente pour toutes vos charges de travail sans serveur à travers plusieurs produits.
  • Facilement gérer à grande échelle: gérez de manière centralisée votre posture sur plusieurs espaces de travail et appliquez une stratégie par défaut pour votre compte Databricks.
  • stratégies de déploiement en toute sécurité: atténuer les risques en évaluant les effets d’une nouvelle stratégie en mode exécution sèche avant l’application complète.

Cette préversion prend en charge les produits serverless suivants : notebooks, workflows, SQL warehouses, pipelines Delta Live Tables, Mosaic AI Model Serving, Lakehouse Monitoring et Databricks Apps avec une prise en charge limitée.

Remarque

L’activation des restrictions de sortie sur un espace de travail empêche Databricks Apps d’accéder aux ressources non autorisées. Toutefois, l’implémentation de restrictions de sortie peut affecter les fonctionnalités de l’application.

Vue d’ensemble de la stratégie réseau

Une stratégie réseau est un objet de configuration appliqué au niveau du compte Azure Databricks. Bien qu’une stratégie réseau unique puisse être associée à plusieurs espaces de travail Azure Databricks, chaque espace de travail ne peut être lié qu’à une seule stratégie à la fois.

Les stratégies réseau définissent le mode d’accès réseau pour les charges de travail serverless au sein des espaces de travail associés. Il existe deux modes principaux :

  • Accès complet : les charges de travail serverless disposent d’un accès sortant illimité à Internet et à d’autres ressources réseau.
  • Accès restreint : l’accès sortant est limité à :
    • Destinations du catalogue Unity : emplacements et connexions configurés dans le catalogue Unity accessibles à partir de l’espace de travail.
    • Destinations définies explicitement : les noms de domaine complets et le compte de stockage Azure sont répertoriés dans la stratégie réseau.

État de la sécurité

Lorsqu’une stratégie réseau est définie sur le mode d’accès restreint, les connexions réseau sortantes à partir de charges de travail serverless sont étroitement contrôlées.

Comportement Détails
Refuser par défaut la connectivité sortante Les charges de travail serverless n'ont accès qu'aux destinations configurées par le biais d'emplacements du catalogue Unity ou de connexions qui sont autorisées par défaut, aux noms de domaine complets ou aux emplacements de stockage définis dans la politique, et aux API d’espace de travail du même espace de travail que la charge de travail. L’accès entre espaces de travail est refusé.
Aucun accès direct au stockage L’accès direct à partir du code utilisateur dans les fonctions définies par l’utilisateur et les notebooks est interdit. Utilisez plutôt des abstractions Databricks comme Unity Catalog ou DBFS mounts. Les montages DBFS autorisent l’accès sécurisé aux données dans le compte de stockage Azure répertorié dans la stratégie réseau.
Destinations implicitement autorisées Vous pouvez toujours accéder au compte de stockage Azure associé à votre espace de travail, aux tables système essentielles et aux exemples de jeux de données (en lecture seule).
Application de stratégie pour les points de terminaison privés L’accès sortant via des points de terminaison privés est également soumis aux règles définies dans la stratégie réseau. La destination doit être répertoriée dans le catalogue Unity ou dans la stratégie. Cela garantit une mise en œuvre cohérente de la sécurité dans toutes les méthodes d’accès réseau.