什么是无服务器出口控件?
重要
此功能目前以公共预览版提供。
本文介绍如何通过无服务器出口控制从无服务器计算资源管理出站网络连接。
无服务器出站控制通过让您管理无服务器工作负载的外向连接来增强安全态势,从而降低数据泄露的风险。
使用网络策略,可以:
- 强制实施默认拒绝策略:通过启用适用于 Internet、云存储和 Databricks API 连接的默认拒绝策略,以精细精度控制出站访问。
- 简化管理:为多个无服务器产品的所有无服务器工作负荷定义一致的出口控制策略。
- 轻松大规模管理:集中管理多个工作区的安全态势,并在 Databricks 帐户中实施默认策略。
- 安全推出策略:通过在完全强制实施之前,以试运行模式评估任何新策略的影响来缓解风险。
此预览版支持以下无服务器产品:笔记本、工作流、SQL 仓库、Delta Live Tables 管道、马赛克 AI 模型服务、Lakehouse Monitoring 和 Databricks Apps(支持有限)。
注释
对工作区启用出口限制可防止 Databricks 应用访问未经授权的资源。 但是,实现出口限制可能会影响应用程序功能。
网络策略概述
网络策略是在 Azure Databricks 帐户级别应用的配置对象。 虽然单个网络策略可以与多个 Azure Databricks 工作区相关联,但每个工作区一次只能链接到一个策略。
网络策略为关联工作区中的无服务器工作负荷定义网络访问模式。 有两种主要模式:
- 完全访问权限:无服务器工作负荷对 Internet 和其他网络资源具有无限制的出站访问。
- 受限访问:出站访问限制为:
- Unity 目录目标:在可从工作区访问的 Unity 目录中配置的位置和连接。
- 显式定义的目标:FQDN 和 Azure 存储帐户列在网络策略中。
安全状况
将网络策略设置为受限访问模式时,将严格控制来自无服务器工作负荷的出站网络连接。
| 行为 | 详细信息 |
|---|---|
| 默认拒绝出站连接 | 无服务器工作负载仅有权访问以下内容:通过默认情况下允许的 Unity 目录位置或连接配置的目标、策略中定义的 FQDN 或存储位置,以及与工作负荷相同的工作区的工作区 API。 跨工作区访问被拒绝。 |
| 无直接存储访问 | 禁止从 UDF 和笔记本中的用户代码直接访问。 请改用 Databricks 抽象,例如 Unity 目录或 DBFS 装载。 DBFS 装载允许安全访问网络策略中列出的 Azure 存储帐户中的数据。 |
| 隐式允许的目标 | 始终可以访问与工作区、基本系统表和示例数据集(只读)关联的 Azure 存储帐户。 |
| 专用终结点的策略强制实施 | 通过专用终结点进行出站访问也受网络策略中定义的规则的约束。 目标必须在 Unity Catalog 或策略中列出。 这可确保在所有网络访问方法中实施一致的安全强制。 |