Co to jest bezserwerowa kontrola ruchu wychodzącego?
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
W tym artykule wyjaśniono, jak bezserwerowa kontrola ruchu wychodzącego umożliwia zarządzanie wychodzącymi połączeniami sieciowymi z bezserwerowych zasobów obliczeniowych.
Kontrola ruchu wychodzącego bezserwerowego zwiększa poziom zabezpieczeń, umożliwiając zarządzanie połączeniami wychodzącymi z obciążeń bezserwerowych, co zmniejsza ryzyko eksfiltracji danych.
Za pomocą zasad sieciowych można wykonywać następujące czynności:
- wprowadzenie zasady domyślnej odmowy: kontrolowanie dostępu wychodzącego z dużą dokładnością przez włączenie zasady domyślnej odmowy dla połączeń z internetem, magazynem w chmurze i interfejsem API Databricks.
- Uprość zarządzanie: Zdefiniuj spójne podejście do kontroli ruchu wychodzącego dla wszystkich obciążeń bezserwerowych w różnych produktach tego typu.
- Łatwe zarządzanie na dużą skalę: Centralnie zarządzaj ustawieniami bezpieczeństwa w wielu obszarach roboczych i egzekwuj politykę domyślną dla konta Databricks.
- Bezpieczne wdrażanie polityk: Zmniejszanie ryzyka przez ocenę skutków nowych polityk w trybie symulacji przed pełnym wdrożeniem.
Ta wersja zapoznawcza obsługuje następujące produkty bezserwerowe: notesy, przepływy pracy, magazyny SQL, potoki DLT, serwowanie modeli Mosaic AI, monitorowanie Lakehouse oraz aplikacje Databricks z ograniczoną obsługą.
Notatka
Włączenie ograniczeń ruchu wychodzącego w obszarze roboczym uniemożliwia usłudze Databricks Apps uzyskiwanie dostępu do nieautoryzowanych zasobów. Jednak implementowanie ograniczeń ruchu wychodzącego może mieć wpływ na funkcjonalność aplikacji.
Omówienie zasad sieciowych
Zasady sieciowe to obiekt konfiguracji stosowany na poziomie konta usługi Azure Databricks. Chociaż z wieloma obszarami roboczymi usługi Azure Databricks można skojarzyć pojedyncze zasady sieciowe, każdy obszar roboczy może być połączony tylko z jedną zasadą jednocześnie.
Zasady sieciowe definiują tryb dostępu do sieci dla obciążeń bezserwerowych w skojarzonych obszarach roboczych. Istnieją dwa tryby podstawowe:
- Pełny dostęp: obciążenia bezserwerowe mają nieograniczony dostęp wychodzący do Internetu i innych zasobów sieciowych.
-
Ograniczony dostęp: dostęp wychodzący jest ograniczony do:
- Miejsca docelowe Unity Catalogu: lokalizacje i połączenia skonfigurowane w Unity Catalogu, które są dostępne w obszarze roboczym.
- Jawnie zdefiniowane miejsca docelowe: nazwy FQDN i konto usługi Azure Storage są wymienione w zasadach sieciowych.
Stan zabezpieczeń
Po ustawieniu zasad sieciowych na tryb ograniczonego dostępu połączenia sieciowe wychodzące z obciążeń bezserwerowych są ściśle kontrolowane.
| Zachowanie | Szczegóły |
|---|---|
| Odmów domyślnej łączności wychodzącej | Obciążenia bezserwerowe mają dostęp tylko do następujących elementów: miejsca docelowe skonfigurowane za pośrednictwem katalogu Unity lub połączenia, które są domyślnie dozwolone, FQDN lub lokacje przechowywania zdefiniowane w zasadach oraz interfejsy API obszaru roboczego, w którym działa obciążenie. Dostęp między obszarami roboczymi jest zabroniony. |
| Brak bezpośredniego dostępu do magazynu | Bezpośredni dostęp z kodu napisanego przez użytkownika w funkcjach zdefiniowanych przez użytkownika i notesach jest zabroniony. Zamiast tego należy używać abstrakcji Databricks, takich jak Unity Catalog lub mounty DBFS. Instalowanie systemu plików DBFS umożliwia bezpieczny dostęp do danych na koncie usługi Azure Storage wymienionym w zasadach sieciowych. |
| Niejawnie dozwolone miejsca docelowe | Zawsze możesz uzyskać dostęp do konta usługi Azure Storage skojarzonego z obszarem roboczym, podstawowymi tabelami systemowymi i przykładowymi zestawami danych (tylko do odczytu). |
| Wymuszanie zasad dla prywatnych punktów końcowych | Dostęp wychodzący za pośrednictwem prywatnych punktów końcowych podlega również regułom zdefiniowanym w zasadach sieciowych. Miejsce docelowe musi być wymienione w katalogu Unity albo w polityce. Zapewnia to spójne wymuszanie zabezpieczeń we wszystkich metodach dostępu do sieci. |