Wat is serverloos uitgaand verkeer?
Belangrijk
Deze functie is beschikbaar als openbare preview.
In dit artikel wordt uitgelegd hoe beheer van serverloze uitgaande verbindingen u in staat stelt het uitgaande netwerk vanaf uw serverloze rekenbronnen te beheren connections.
Serverloos uitgaand verkeer versterkt uw beveiligingspostuur doordat u uitgaande connections van uw serverloze workloads kunt beheren, waardoor het risico op gegevensexfiltratie wordt verminderd.
Met behulp van netwerkbeleid kunt u het volgende doen:
- deny-standaardpostuur afdwingen: uitgaande toegang beheren met gedetailleerde precisie door een deny-standaardbeleid voor internet, cloudopslag en Databricks-API in te schakelen connections.
- Beheervereenvoudigen: Definieer consistente controlemaatregelen voor uitgaand verkeer voor al uw serverloze werklasten over meerdere serverloze producten.
- Beheer eenvoudig op schaal: beheer uw houding centraal in meerdere werkruimten en dwing een standaardbeleid af voor uw Databricks-account.
- Beleid veilig uitrollen: beperk risico's door de effecten van een nieuw beleid in de alleen-logmodus te evalueren voordat de volledige handhaving plaatsvindt.
Deze preview ondersteunt de volgende serverloze producten: notebooks, werkstromen, SQL-magazijnen, Delta Live Tables pijplijnen, Mosaic AI Model Serving, Lakehouse Monitoring en Databricks-apps met beperkte ondersteuning.
Notitie
Door uitgaande beperkingen voor een werkruimte te activeren, voorkomt u dat Databricks-apps toegang hebben tot ongeautoriseerde bronnen. Het implementeren van uitgaande beperkingen kan echter van invloed zijn op de functionaliteit van de toepassing.
Overzicht van netwerkbeleid
Een netwerkbeleid is een configuratieobject dat wordt toegepast op azure Databricks-accountniveau. Hoewel één netwerkbeleid kan worden gekoppeld aan meerdere Azure Databricks-werkruimten, kan elke werkruimte slechts aan één beleid tegelijk worden gekoppeld.
Netwerkbeleid definieert de netwerktoegangsmodus voor serverloze workloads binnen de gekoppelde werkruimten. Er zijn twee primaire modi:
- Volledige toegang: serverloze workloads hebben onbeperkte uitgaande toegang tot internet en andere netwerkbronnen.
-
Beperkte toegang: uitgaande toegang is beperkt tot:
- Unity Catalog bestemmingen: Locaties en connections geconfigureerd in Unity Catalog die toegankelijk zijn vanuit de werkruimte.
- Expliciet gedefinieerde bestemmingen: FQDN's en Azure-opslagaccounts worden vermeld in het netwerkbeleid.
Beveiligingspostuur
Wanneer een netwerkbeleid wordt set tot de modus voor beperkte toegang, worden uitgaande netwerk-connections van serverloze workloads nauw beheerd.
| Gedrag | Bijzonderheden |
|---|---|
| standaard uitgaande connectiviteit Deny | Serverloze workloads hebben alleen toegang tot het volgende: bestemmingen die zijn geconfigureerd via Unity Catalog locaties of connections die standaard zijn toegestaan, FQDN's of opslaglocaties die zijn gedefinieerd in het beleid en werkruimte-API's van dezelfde werkruimte als de workload. Toegang tot meerdere werkruimten wordt geweigerd. |
| Geen directe opslagtoegang | Directe toegang vanuit gebruikerscode in UDF's en notebooks is verboden. Gebruik in plaats daarvan Databricks-abstracties zoals Unity Catalog of DBFS-koppelingen. DBFS-koppelingen bieden beveiligde toegang tot gegevens in een Azure-opslagaccount dat wordt vermeld in het netwerkbeleid. |
| Impliciet toegestane bestemmingen | U hebt altijd toegang tot het Azure-opslagaccount dat is gekoppeld aan uw werkruimte, het essentiële systeem tablesen de voorbeeldgegevenssets (alleen-lezen). |
| Beleidshandhaving voor privé-eindpunten | Uitgaande toegang via privé-eindpunten is ook onderhevig aan de regels die zijn gedefinieerd in het netwerkbeleid. De bestemming moet worden vermeld in Unity Catalog of binnen het beleid. Dit zorgt voor consistente beveiligings afdwinging voor alle netwerktoegangsmethoden. |