Condividi tramite

Che cos'è il controllo uscita serverless?

  • Articolo

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Questo articolo illustra come il controllo in uscita serverless consente di gestire le connessioni di rete in uscita dalle risorse di calcolo serverless.

Il controllo in uscita serverless rafforza il profilo di sicurezza permettendo di controllare le connessioni in uscita dagli ambienti di lavoro serverless, riducendo il rischio di esfiltrazione dei dati.

Usando i criteri di rete, è possibile:

  • Applicare l'approccio di negazione per impostazione predefinita: Controllare l'accesso in uscita con una precisione granulare abilitando una politica di negazione per impostazione predefinita per Internet, l'archiviazione cloud e le connessioni API di Databricks.
  • Semplificare la gestione: definire una postura di controllo degli accessi coerente per tutti i carichi di lavoro serverless attraverso diversi prodotti serverless.
  • Gestire facilmente isu larga scala: gestire centralmente il comportamento in più aree di lavoro e applicare un criterio predefinito per l'account Databricks.
  • criteri di implementazione sicura: ridurre i rischi valutando gli effetti di qualsiasi nuovo criterio in modalità di sola registrazione prima dell'applicazione completa.

Questa anteprima supporta i seguenti prodotti serverless: Notebook, Flussi di lavoro, SQL Warehouses, pipeline di Delta Live Tables, Mosaic AI Model Serving, Monitoraggio Lakehouse e App Databricks con supporto limitato.

Nota

L'abilitazione delle restrizioni in uscita in un'area di lavoro impedisce alle app Databricks di accedere a risorse non autorizzate. Tuttavia, l'implementazione delle restrizioni in uscita potrebbe influire sulle funzionalità dell'applicazione.

Panoramica dei criteri di rete

Un criterio di rete è un oggetto di configurazione applicato a livello di account Azure Databricks. Anche se un singolo criterio di rete può essere associato a più aree di lavoro di Azure Databricks, ogni area di lavoro può essere collegata a un solo criterio alla volta.

I criteri di rete definiscono la modalità di accesso alla rete per i carichi di lavoro serverless all'interno delle aree di lavoro associate. Esistono due modalità principali:

  • Accesso completo: i carichi di lavoro serverless hanno accesso in uscita illimitato a Internet e ad altre risorse di rete.
  • Accesso limitato: l'accesso in uscita è limitato a:
    • Destinazioni del catalogo Unity: percorsi e connessioni configurati all'interno del catalogo unity accessibili dall'area di lavoro.
    • Destinazioni definite in modo esplicito: i nomi di dominio completi e l'account di archiviazione di Azure sono elencati nei criteri di rete.

Comportamento di sicurezza

Quando un criterio di rete è impostato sulla modalità di accesso limitato, le connessioni di rete in uscita dai carichi di lavoro serverless sono strettamente controllate.

Comportamento Dettagli
Nega per impostazione predefinita la connettività in uscita I carichi di lavoro serverless hanno accesso solo alle seguenti opzioni: destinazioni configurate attraverso le posizioni del catalogo Unity o connessioni consentite per impostazione predefinita, FQDN (Fully Qualified Domain Names) o percorsi di archiviazione definiti nei criteri, e le API dello stesso workspace del carico di lavoro. L'accesso tra aree di lavoro viene negato.
Nessun accesso diretto alle risorse di archiviazione L'accesso diretto dal codice utente nelle funzioni definite dall'utente e nei notebook non è consentito. Usare invece astrazioni di Databricks come i montaggi di Unity Catalog o DBFS. I punti di montaggio DBFS consentono un accesso sicuro ai dati nell'account di archiviazione di Azure elencato nella policy di rete.
Destinazioni consentite in modo implicito È sempre possibile accedere all'account di archiviazione di Azure associato all'area di lavoro, alle tabelle di sistema essenziali e ai set di dati di esempio (di sola lettura).
Applicazione dei criteri per gli endpoint privati L'accesso in uscita tramite endpoint privati è soggetto anche alle regole definite nei criteri di rete. La destinazione deve essere elencata nel Catalogo Unity o all'interno della policy. In questo modo si garantisce un'applicazione coerente della sicurezza in tutti i metodi di accesso alla rete.