Udostępnij za pośrednictwem

Użytkownicy w sieci usługi Azure Databricks

  • Artykuł

W tym przewodniku przedstawiono funkcje dostosowywania dostępu sieciowego między użytkownikami i ich obszarami roboczymi usługi Azure Databricks.

Dlaczego warto dostosować sieć od użytkowników do usługi Azure Databricks?

Domyślnie użytkownicy i aplikacje mogą łączyć się z usługą Azure Databricks z dowolnego adresu IP. Użytkownicy mogą uzyskiwać dostęp do krytycznych źródeł danych przy użyciu usługi Azure Databricks. W przypadku naruszenia bezpieczeństwa credentials użytkownika za pośrednictwem wyłudzania informacji lub podobnego ataku zabezpieczanie dostępu do sieci znacznie zmniejsza ryzyko przejęcia konta. Konfiguracje, takie jak łączność prywatna, listy dostępu ip i zapory, pomagają zapewnić bezpieczeństwo krytycznych danych.

Można również skonfigurować funkcje uwierzytelniania i kontroli dostępu, aby chronić użytkowników credentials, zobacz Uwierzytelnianie i kontrola dostępu.

Notatka

Użytkownicy, którzy chcą korzystać z bezpiecznych funkcji sieciowych w Azure Databricks, wymagają planu Premium.

Łączność prywatna

Między użytkownikami usługi Azure Databricks a płaszczyzną sterowania, usługa Private Link zapewnia silne mechanizmy kontroli, które limit źródło żądań przychodzących. Jeśli twoja organizacja kieruje ruch przez środowisko Azure, możesz użyć usługi Private Link, aby zapewnić, że komunikacja między użytkownikami a płaszczyzną sterowania Databricks nie przechodzi przez publiczne adresy IP. Zobacz Konfigurowanie łączności prywatnej z usługą Azure Databricks.

Listy dostępu do adresów IP

Uwierzytelnianie potwierdza tożsamość użytkownika, ale nie wymusza lokalizacji sieciowej użytkowników. Uzyskiwanie dostępu do usługi w chmurze z niezabezpieczonej sieci stanowi zagrożenie bezpieczeństwa, zwłaszcza gdy użytkownik może mieć autoryzowany dostęp do poufnych lub osobistych danych. Za pomocą list dostępu do adresów IP można skonfigurować obszary robocze usługi Azure Databricks, aby użytkownicy mogli łączyć się z usługą tylko za pośrednictwem istniejących sieci z bezpiecznym obwodem.

Administratorzy mogą określić adresy IP, które mogą uzyskiwać dostęp do usługi Azure Databricks. Można również określić adresy IP lub podsieci, które mają być blokowane. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie listami dostępu do adresów IP.

Możesz również użyć usługi Private Link, aby zablokować cały publiczny dostęp do Internetu do obszaru roboczego usługi Azure Databricks.

Reguły zapory

Wiele organizacji używa zapory do blokowania ruchu na podstawie nazw domen. Aby zapewnić dostęp do zasobów usługi Azure Databricks, musisz zezwolić list nazw domen usługi Azure Databricks. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguł zapory nazw domen.

Usługa Azure Databricks przeprowadza również walidację nagłówka hosta w celu zapewnienia, że żądania używają autoryzowanych domen usługi Azure Databricks, takich jak .azuredatabricks.net. Żądania korzystające z domen spoza sieci usługi Azure Databricks zostaną zablokowane. Ten środek bezpieczeństwa chroni przed potencjalnymi atakami na nagłówek hosta HTTP.