サーバーレス エグレス制御とは
重要
この機能はパブリック プレビュー段階にあります。
この記事では、サーバーレス エグレス制御を使用して、サーバーレス コンピューティング リソースからの送信ネットワーク接続を管理する方法について説明します。
サーバーレス エグレス制御では、サーバーレス ワークロードからの送信接続を管理できるため、セキュリティ態勢が強化され、データ流出のリスクが軽減されます。
ネットワーク ポリシーを使用すると、次のことができます。
- 既定で拒否する態勢の適用: インターネット、クラウド ストレージ、Databricks API 接続に対して、既定で拒否ポリシーを有効にすることで、送信アクセスをきめ細かく制御します。
- 管理の簡素化: を簡素化する: 複数のサーバーレス製品にわたって、すべてのサーバーレス ワークロードに対して一貫したエグレス制御態勢を定義します。
- 複数のワークスペースにまたがる管理を簡単に大規模に行う: ワークスペースをまたいで体制を一元管理し、Databricks アカウントに既定のポリシーを強制適用します。
- 安全なロールアウト ポリシー: 完全な適用前にドライラン モードで新しいポリシーの影響を評価することで、リスクを軽減します。
このプレビューでは、次のサーバーレス製品がサポートされています: ノートブック、ワークフロー、SQL ウェアハウス、Delta Live Tables パイプライン、Mosaic AI Model Serving、レイクハウス監視、Databricks Apps (制限付きサポート)。
注
ワークスペースでエグレス制限を有効にすると、Databricks Apps で、承認されていないリソースにアクセスできなくなります。 ただし、エグレス制限を実装すると、アプリケーションの機能に影響する可能性があります。
ネットワーク ポリシーの概要
ネットワーク ポリシーは、Azure Databricks アカウント レベルで適用される構成オブジェクトです。 1 つのネットワーク ポリシーを複数の Azure Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにのみリンクできます。
ネットワーク ポリシーは、関連付けられているワークスペース内のサーバーレス ワークロードのネットワーク アクセス モードを定義します。 主なモードは 2 つあります。
- フル アクセス: サーバーレス ワークロードには、インターネットやその他のネットワーク リソースへの無制限の送信アクセスがあります。
- 制限付きアクセス: 送信アクセスは次に制限されます。
- Unity Catalog の宛先: ワークスペースからアクセスできる Unity Catalog 内で構成された場所と接続。
- 明示的に定義された宛先: FQDN と Azure ストレージ アカウントがネットワーク ポリシーに一覧表示されます。
セキュリティ態勢
ネットワーク ポリシーが制限付きアクセス モードに設定されている場合、サーバーレス ワークロードからの送信ネットワーク接続は厳密に制御されます。
| 行動 | 詳細 |
|---|---|
| 送信接続を既定で拒否 | サーバーレス ワークロードは、Unity Catalog の場所または既定で許可されている接続を介して構成された宛先、ポリシーで定義されている FQDN またはストレージの場所、ワークロードと同じワークスペースのワークスペース API にのみアクセスできます。 ワークスペース間アクセスは拒否されます。 |
| ストレージへの直接アクセスなし | UDF およびノートブック内のユーザー コードからの直接アクセスは禁止されています。 代わりに、Unity カタログや DBFS マウントなどの Databricks 抽象化を使用してください。 DBFS マウントを使用すると、ネットワーク ポリシーに記載されている Azure ストレージ アカウント内のデータに安全にアクセスできます。 |
| 暗黙的に許可される宛先 | ワークスペースに関連付けられている Azure ストレージ アカウント、重要なシステム テーブル、およびサンプル データセットにいつでもアクセスできます (読み取り専用)。 |
| プライベート エンドポイントに対するポリシーの適用 | プライベート エンドポイント経由の送信アクセスも、ネットワーク ポリシーで定義されている規則に従います。 宛先は、Unity Catalog またはポリシー内に一覧表示されている必要があります。 これにより、すべてのネットワーク アクセス方法で一貫したセキュリティの適用が保証されます。 |