Azure Databricks ネットワークのユーザー
このガイドでは、ユーザーとその Azure Databricks ワークスペース間のネットワーク アクセスをカスタマイズする機能について説明します。
ユーザーから Azure Databricks へのネットワークをカスタマイズする理由
既定では、ユーザーとアプリケーションは任意の IP アドレスから Azure Databricks に接続できます。 ユーザーは、Azure Databricks を使用して重要なデータ ソースにアクセスできます。 フィッシング詐欺や同様の攻撃によってユーザーの資格情報が侵害された場合、ネットワーク アクセスをセキュリティで保護すると、アカウントの引き継ぎのリスクが大幅に軽減されます。 プライベート接続、IP アクセス リスト、ファイアウォールなどの構成は、重要なデータのセキュリティを維持するのに役立ちます。
認証とアクセス制御機能を構成してユーザーの資格情報を保護することもできます。「認証とアクセス制御の
手記
Azure Databricks のセキュリティで保護されたネットワーク機能を使用するユーザーには、Premium プランのが必要です。
プライベート接続
Azure Databricks ユーザーとコントロール プレーンの間で、Private Link は、受信要求のソースを制限する強力な制御を提供します。 組織が Azure 環境を経由してトラフィックをルーティングする場合は、Private Link を使用して、ユーザーと Databricks コントロール プレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。 「Azure Databricksへのプライベート接続を構成する」を参照してください。
IP アクセス リスト
認証ではユーザー ID が証明されますが、ユーザーのネットワークの場所は強制されません。 セキュリティで保護されていないネットワークからクラウド サービスにアクセスすると、特にユーザーが機密データまたは個人データへのアクセスを承認した可能性がある場合に、セキュリティ リスクが発生します。 IP アクセス リストを使用すると、ユーザーがセキュリティで保護された境界を持つ既存のネットワーク経由でのみサービスに接続できるように、Azure Databricks ワークスペースを構成できます。
管理者は、Azure Databricks へのアクセスを許可される IP アドレスを指定できます。 ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「IP アクセス リストの管理」を参照してください。
Private Link を使用して、Azure Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。
ファイアウォール規則
多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックします。 Azure Databricks リソースへのアクセスを確保するには、Azure Databricks ドメイン名の一覧を許可する必要があります。 詳細については、「ドメイン名ファイアウォール規則を構成する」を参照してください。
Azure Databricks では、ホスト ヘッダーの検証も実行され、要求で .azuredatabricks.net などの承認された Azure Databricks ドメインが確実に使用されます。 Azure Databricks ネットワークの外部にあるドメインを使用する要求はブロックされます。 このセキュリティ対策は、潜在的な HTTP ホスト ヘッダー攻撃から保護します。