Поделиться через

Пользователи в сети Azure Databricks

  • Статья

В этом руководстве представлены функции настройки сетевого доступа между пользователями и рабочими областями Azure Databricks.

Зачем настраивать сеть пользователей в Azure Databricks?

По умолчанию пользователи и приложения могут подключаться к Azure Databricks с любого IP-адреса. Пользователи могут получить доступ к критически важным источникам данных с помощью Azure Databricks. В случае, если учетные данные пользователя скомпрометируются через фишинг или аналогичную атаку, защита сетевого доступа значительно снижает риск принятия учетной записи. Такие конфигурации, как частные подключения, списки IP-доступа и брандмауэры, помогают обеспечить безопасность критически важных данных.

Вы также можете настроить функции проверки подлинности и управления доступом для защиты учетных данных пользователя, см. проверки подлинности и управления доступом.

Заметка

Пользователям Azure Databricks для доступа к функциям безопасной сети требуется план Premium.

Частное подключение

Между пользователями Azure Databricks и плоскостью управления, Private Link предоставляет строгие элементы управления, ограничивающие источник входящих запросов. Если организация направляет трафик через среду Azure, вы можете использовать приватный канал, чтобы убедиться, что связь между пользователями и плоскостем управления Databricks не проходит через общедоступные IP-адреса. См. раздел Настройка частного подключения к Azure Databricks.

Списки IP-доступа

Проверка подлинности подтверждает удостоверение пользователя, но не контролирует сетевое расположение пользователей. Доступ к облачной службе из незащищенной сети представляет угрозу безопасности, особенно если у пользователя может быть авторизованный доступ к конфиденциальным или персональным данным. С помощью списков IP-доступа можно настроить рабочие области Azure Databricks, чтобы пользователи подключались к службе только через существующие сети с безопасным периметром.

Администраторы могут указать IP-адреса, которым разрешен доступ к Azure Databricks. Вы также можете указать IP-адреса или подсети для блокировки. Дополнительные сведения см. в списках управления IP-доступом .

Вы также можете использовать приватный канал для блокировки всех общедоступных интернет-доступа к рабочей области Azure Databricks.

Правила брандмауэра

Многие организации используют брандмауэр для блокировки трафика на основе доменных имен. Чтобы обеспечить доступ к ресурсам Azure Databricks, необходимо добавить доменные имена Azure Databricks в разрешённый список. Дополнительные сведения см. в разделе Настройка правил брандмауэра доменных имен.

Azure Databricks также выполняет проверку заголовка узла, чтобы убедиться, что запросы используют авторизованные домены Azure Databricks, такие как .azuredatabricks.net. Запросы, использующие домены за пределами сети Azure Databricks, будут заблокированы. Эта мера безопасности защищает от потенциальных атак заголовков узла HTTP.