用户到 Azure Databricks 网络

本指南介绍了自定义用户与其 Azure Databricks 工作区之间的网络访问的功能。

为什么要自定义用户到 Azure Databricks 的网络?

默认情况下,用户和应用程序可以从任何 IP 地址连接到 Azure Databricks。 用户可以使用 Azure Databricks 访问关键数据源。 如果用户的凭据通过网络钓鱼或类似攻击被泄漏,则保护网络访问可大幅降低帐户接管的风险。 专用连接、IP 访问列表和防火墙等配置有助于保护关键数据的安全。

还可以配置身份验证和访问控制功能来保护用户的凭据,请参阅身份验证和访问控制

注意

用户与 Azure Databricks 的安全网络功能要求具有高级计划

专用连接

在 Azure Databricks 用户与控制平面之间,专用链接提供强控制来限制入站请求的源。 如果组织通过 Azure 环境路由流量,则可以使用专用链接来确保用户与 Databricks 控制平面之间的通信不会遍历公共 IP 地址。 请参阅配置与 Azure Databricks 的专用连接

IP 访问列表

身份验证可证明用户身份,但对用户的网络位置并没有强制要求。 从不安全的网络访问云服务会带来安全风险,尤其是在用户可能已获得授权访问敏感数据或个人数据的情况下。 使用 IP 访问列表,可以配置 Azure Databricks 工作区,以便用户仅通过具有安全外围的现有网络连接到服务。

管理员可以指定允许访问 Azure Databricks 的 IP 地址。 还可以指定要阻止的 IP 地址或子网。 有关详细信息,请参阅管理 IP 访问列表

还可以使用专用链接阻止对 Azure Databricks 工作区的所有公共 Internet 访问。

防火墙规则

许多组织使用防火墙来基于域名阻止流量。 必须将 Azure Databricks 域名加入允许列表,才能确保可以访问 Azure Databricks 资源。 有关详细信息,请参阅配置域名防火墙规则

Azure Databricks 还对公共和专用连接执行主机头验证,以确保请求源自目标主机。 这可以防止潜在的 HTTP 主机头攻击。