Udostępnij za pośrednictwem

Co to jest kontrolka ruchu wychodzącego bezserwerowego?

  • Artykuł

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

W tym artykule wyjaśniono, jak kontrola ruchu wychodzącego w środowisku bezserwerowym umożliwia zarządzanie ruchem wychodzącym w sieci connections z zasobów obliczeniowych bezserwerowych.

Kontrola ruchu wychodzącego bezserwerowego zwiększa poziom zabezpieczeń, umożliwiając zarządzanie wychodzącymi connections z obciążeń bezserwerowych, co zmniejsza ryzyko eksfiltracji danych.

Za pomocą zasad sieciowych można wykonywać następujące czynności:

  • Wymuszaj deny— domyślnie stan: kontrolowanie dostępu wychodzącego o szczegółową precyzję przez włączenie zasad deny— domyślnie dla internetu, magazynu w chmurze i interfejsu API usługi Databricks connections.
  • Uprość zarządzanie: Zdefiniuj spójne podejście do kontroli ruchu wychodzącego dla wszystkich obciążeń bezserwerowych w różnych produktach tego typu.
  • Łatwe zarządzanie na dużą skalę: Centralnie zarządzaj stanem w wielu obszarach roboczych i wymuszaj domyślną politykę dla konta Databricks.
  • Bezpieczne wdrażanie zasad: Zmniejszanie ryzyka przez ocenę skutków nowych zasad w trybie tylko do logowania przed pełnym wymuszaniem.

Ta wersja zapoznawcza obsługuje następujące produkty bezserwerowe: notesy, przepływy pracy, magazyny SQL, potoki usługi Delta Live Tables, obsługa modelu mozaiki sztucznej inteligencji, monitorowanie usługi Lakehouse i aplikacje usługi Databricks z ograniczoną obsługą.

Notatka

Włączenie ograniczeń ruchu wychodzącego w obszarze roboczym uniemożliwia usłudze Databricks Apps uzyskiwanie dostępu do nieautoryzowanych zasobów. Jednak implementowanie ograniczeń ruchu wychodzącego może mieć wpływ na funkcjonalność aplikacji.

Omówienie zasad sieciowych

Zasady sieciowe to obiekt konfiguracji stosowany na poziomie konta usługi Azure Databricks. Chociaż z wieloma obszarami roboczymi usługi Azure Databricks można skojarzyć pojedyncze zasady sieciowe, każdy obszar roboczy może być połączony tylko z jedną zasadą jednocześnie.

Zasady sieciowe definiują tryb dostępu do sieci dla obciążeń bezserwerowych w skojarzonych obszarach roboczych. Istnieją dwa tryby podstawowe:

  • Pełny dostęp: obciążenia bezserwerowe mają nieograniczony dostęp wychodzący do Internetu i innych zasobów sieciowych.
  • Ograniczony dostęp: dostęp wychodzący jest ograniczony do:
    • Miejsca docelowe Catalog Unity: lokalizacje i connections skonfigurowane w Unity Catalog, które są dostępne z przestrzeni roboczej.
    • Jawnie zdefiniowane miejsca docelowe: nazwy FQDN i konto usługi Azure Storage są wymienione w zasadach sieciowych.

Stan zabezpieczeń

Gdy zasady sieciowe są set w trybie ograniczonego dostępu, wychodzące connections sieciowe z obciążeń bezserwerowych są ściśle kontrolowane.

Zachowanie Szczegóły
Deny domyślnie łączność wychodząca Obciążenia bezserwerowe mają dostęp tylko do następujących elementów: miejsca docelowe skonfigurowane za pośrednictwem lokalizacji Unity Catalog lub connections, które są dozwolone domyślnie, nazwy FQDN lub lokalizacje magazynu zdefiniowane w polityce oraz interfejsy API w obrębie tego samego obszaru roboczego co obciążenie. Odmowa dostępu między obszarami roboczymi.
Brak bezpośredniego dostępu do magazynu Bezpośredni dostęp z kodu użytkownika w funkcjach zdefiniowanych przez użytkownika i notesach jest zabroniony. Zamiast tego należy używać abstrakcji usługi Databricks, takich jak unity Catalog lub instalacji systemu plików DBFS. Instalowanie systemu plików DBFS umożliwia bezpieczny dostęp do danych na koncie usługi Azure Storage wymienionym w zasadach sieciowych.
Niejawnie dozwolone miejsca docelowe Zawsze możesz uzyskać dostęp do konta usługi Azure Storage skojarzonego z obszarem roboczym, podstawowym systemem tablesi przykładowymi zestawami danych (tylko do odczytu).
Wymuszanie zasad dla prywatnych punktów końcowych Dostęp wychodzący za pośrednictwem prywatnych punktów końcowych podlega również regułom zdefiniowanym w zasadach sieciowych. Miejsce docelowe musi być wymienione albo w Unity Catalog, albo w polityce. Zapewnia to spójne wymuszanie zabezpieczeń we wszystkich metodach dostępu do sieci.