ユーザーから Azure Databricks ネットワークへ
このガイドでは、ユーザーと Azure Databricks ワークスペースの間のネットワーク アクセスをカスタマイズする機能について説明します。
ユーザーから Azure Databricks へのネットワークをカスタマイズする理由
既定では、ユーザーとアプリケーションは任意の IP アドレスから Azure Databricks に接続できます。 ユーザーは、Azure Databricks を使って重要なデータ ソースにアクセスする可能性があります。 フィッシング詐欺やそれに似た攻撃によってユーザーの資格情報が侵害された場合に備えて、ネットワーク アクセスをセキュリティで保護すると、アカウントが奪われるリスクが大幅に低下します。 プライベート接続、IP アクセス リスト、ファイアウォールなどの構成は、重要なデータのセキュリティを維持するのに役立ちます。
認証とアクセス制御の機能を構成して、ユーザーの資格情報を保護することもできます。「認証とアクセス制御」をご覧ください。
Note
ユーザーから Azure Databricks へのセキュリティ保護されたネットワーク機能を使うには、Premium プランが必要です。
プライベート接続
Azure Databricks ユーザーとコントロール プレーンの間では、Private Link によって、インバウンド要求の要求元を制限する強力な制御が提供されます。 Azure 環境経由でトラフィックをルーティングしている組織の場合は、Private Link を使って、ユーザーと Databricks コントロール プレーンの間の通信がパブリック IP アドレスを通過しないようにできます。 「Azure Databricks へのプライベート接続を構成する」をご覧ください。
IP アクセス リスト
認証ではユーザー ID を確認しますが、ユーザーのネットワークの場所は強制しません。 セキュリティで保護されていないネットワークからクラウド サービスにアクセスすると、特にユーザーが機密や個人的なデータへのアクセス権限が付与されている場合に、セキュリティ上のリスクが生じます。 IP アクセス リストを使用して、セキュリティで保護された境界を持つ既存のネットワーク経由でのみユーザーがサービスに接続するように Azure Databricks ワークスペースを構成できます。
管理者は、Azure Databricks へのアクセスを許可される IP アドレスを指定できます。 ブロックする IP アドレスまたはサブネットを指定することもできます。 詳しくは、「IP アクセス リストを管理する」をご覧ください。
Private Link を使用して、Azure Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。
ファイアウォール規則
多くの組織では、ドメイン名に基づいてトラフィックをブロックするためにファイアウォールを使用しています。 Azure Databricks リソースへのアクセスを確保するには、Azure Databricks ドメイン名の一覧を許可する必要があります。 詳細については、「ドメイン名ファイアウォール規則を構成する」を参照してください。
さらに、Azure Databricks では、要求が意図したホストから送信されていることを確認するために、パブリック接続とプライベート接続の両方に対してホスト ヘッダー検証も実行されます。 これにより、潜在的な HTTP ホスト ヘッダー攻撃から保護されます。