Dela via

Vad är serverlös utgående kontroll?

  • Artikel

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Den här artikeln förklarar hur serverlös utgående kontroll gör att du kan hantera utgående nätverk connections från dina serverlösa beräkningsresurser.

Serverlös utgående kontroll stärker din säkerhetsstatus genom att du kan hantera utgående connections från dina serverlösa arbetsbelastningar, vilket minskar risken för dataexfiltrering.

Med hjälp av nätverksprinciper kan du:

  • Framtvinga denystandardkonfiguration: Kontrollera utgående åtkomst med hög precision genom att aktivera en denystandardpolicy för internet, molnlagring och Databricks API connections.
  • Förenkla hanteringen: Definiera en konsekvent policy för kontroll av utgående trafik för alla dina serverlösa arbetsbelastningar över flera olika produkter.
  • Hantera enkelt i stor skala: Hantera din hållning centralt över flera arbetsytor och tillämpa en standardprincip för ditt Databricks-konto.
  • Principer för säker distribution: Minska risken genom att utvärdera effekterna av en ny princip i loggläge innan fullständig tillämpning.

Den här förhandsversionen stöder följande serverlösa produkter: notebook-filer, arbetsflöden, SQL-lager, Delta Live Tables pipelines, Mosaic AI Model Serving, Lakehouse Monitoring och Databricks Apps med begränsat stöd.

Not

Om du aktiverar utgående begränsningar på en arbetsyta hindras Databricks-appar från att komma åt obehöriga resurser. Implementering av utgående begränsningar kan dock påverka applikationens funktionalitet.

Översikt över nätverksprincip

En nätverksprincip är ett konfigurationsobjekt som tillämpas på Azure Databricks-kontonivå. En enskild nätverksprincip kan associeras med flera Azure Databricks-arbetsytor, men varje arbetsyta kan bara länkas till en princip i taget.

Nätverksprinciper definierar nätverksåtkomstläget för serverlösa arbetsbelastningar på de associerade arbetsytorna. Det finns två primära lägen:

  • Fullständig åtkomst: Serverlösa arbetsbelastningar har obegränsad utgående åtkomst till Internet och andra nätverksresurser.
  • Begränsad åtkomst: Utgående åtkomst är begränsad till:
    • Unity Catalog mål: Platser och connections konfigurerade i Unity Catalog som är tillgängliga från arbetsytan.
    • Destinations som är explicit definierade: FQDN:er och Azure Storage-konton anges i nätverkspolicyn.

Säkerhetsstatus

När en nätverksprincip set begränsat åtkomstläge kontrolleras utgående nätverk connections från serverlösa arbetsbelastningar.

Uppförande Detaljer
Deny som standardinställning för utgående anslutning Serverlösa arbetslaster har endast åtkomst till följande: mål som har konfigurerats via Unity Catalog-platser, eller connections som tillåts som standard, FQDN:er eller lagringsplatser definierade i policyn, samt arbetsyta-API:er för samma arbetsyta som arbetslasten. Åtkomst mellan arbetsytor nekas.
Ingen direkt lagringsåtkomst Direktåtkomst från användarkod i UDF:er och notebook-filer är förbjuden. Använd i stället Databricks-abstraktioner som Unity Catalog- eller DBFS-monteringar. DBFS-monteringar ger säker åtkomst till data i Azure-lagringskontot som anges i nätverkspolicyn.
Implicit tillåtna destinationer Du kan alltid komma åt Azure-lagringskontot som är associerat med din arbetsyta, viktiga systemet tables, och exempeldatauppsättningar (skrivskyddade).
Policytillämpning för privata slutpunkter Utgående åtkomst via privata slutpunkter omfattas också av de regler som definieras i nätverksprincipen. Målet måste anges antingen i Unity Catalog eller i policyn. Detta säkerställer konsekvent säkerhet för alla metoder för nätverksåtkomst.