サーバーレス エグレス制御とは
重要
この機能はパブリック プレビュー段階にあります。
この記事では、サーバーレス エグレス制御を使用して、サーバーレス コンピューティング リソースからの送信ネットワーク接続を管理する方法について説明します。
サーバーレス エグレス制御では、サーバーレス ワークロードからの送信接続を管理できるため、セキュリティ体制が強化され、データ流出のリスクが軽減されます。
ネットワーク ポリシーを使用すると、次のことができます。
- 既定での拒否体制の適用: インターネット、クラウド ストレージ、および Databricks API 接続に対して既定の拒否ポリシーを有効にすることで、きめ細かい精度で送信アクセスを制御します。
- 管理を簡素化する: 複数のサーバーレス製品にわたって、すべてのサーバーレス ワークロードに対して一貫したエグレス制御体制を定義します。
- 複数のワークスペースにまたがる管理を簡単に大規模に行う: ワークスペースをまたいで体制を一元管理し、Databricks アカウントに既定のポリシーを強制適用します。
- 安全なロールアウト ポリシー: 完全な適用前にログのみのモードで新しいポリシーの影響を評価することで、リスクを軽減します。
このプレビューでは、次のサーバーレス製品がサポートされています。ノートブック、ワークフロー、SQL ウェアハウス、Delta Live Tables パイプライン、Mosaic AI Model Serving、Lakehouse Monitoring、Databricks Apps (サポートが制限されています)。
手記
ワークスペースでエグレス制限を有効にすると、Databricks Apps が未承認のリソースにアクセスできなくなります。 ただし、エグレス制限を実装すると、アプリケーションの機能に影響する可能性があります。
ネットワーク ポリシーの概要
ネットワーク ポリシーは、Azure Databricks アカウント レベルで適用される構成オブジェクトです。 1 つのネットワーク ポリシーを複数の Azure Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにのみリンクできます。
ネットワーク ポリシーは、関連付けられているワークスペース内のサーバーレス ワークロードのネットワーク アクセス モードを定義します。 主なモードは 2 つあります。
- フル アクセス: サーバーレス ワークロードには、インターネットやその他のネットワーク リソースへの無制限の送信アクセスがあります。
- 制限付きアクセス: 送信アクセスは次に制限されます。
- Unity カタログの宛先: ワークスペースからアクセスできる Unity カタログ内で構成された場所と接続。
- 明示的に定義された宛先: FQDN と Azure ストレージ アカウントがネットワーク ポリシーに一覧表示されます。
セキュリティ態勢
ネットワーク ポリシーが制限付きアクセス モードに設定されている場合、サーバーレス ワークロードからの送信ネットワーク接続は厳密に制御されます。
| 行動 | 細部 |
|---|---|
| 既定で送信接続を拒否する | サーバーレス ワークロードは、Unity カタログの場所または既定で許可されている接続を介して構成された宛先、ポリシーで定義されている FQDN またはストレージの場所、ワークロードと同じワークスペースのワークスペース API にのみアクセスできます。 ワークスペース間アクセスが拒否されました。 |
| ストレージへの直接アクセスなし | UDF およびノートブック内のユーザー コードからの直接アクセスは禁止されています。 代わりに、Unity カタログや DBFS マウントなどの Databricks 抽象化を使用してください。 DBFS マウントを使用すると、ネットワーク ポリシーに記載されている S3 バケット内のデータに安全にアクセスできます。 |
| 暗黙的に許可される宛先 | ワークスペース、重要なシステム テーブル、およびサンプル データセットに関連付けられている S3 バケットにいつでもアクセスできます (読み取り専用)。 |
| プライベート エンドポイントに対するポリシーの適用 | プライベート エンドポイント経由の送信アクセスも、ネットワーク ポリシーで定義されている規則に従います。 宛先は、Unity カタログまたはポリシー内に一覧表示されている必要があります。 これにより、すべてのネットワーク アクセス方法で一貫したセキュリティの適用が保証されます。 |