Kontextové zásady sítě

Important

Kontextová zásada příchozího přenosu dat na úrovni účtu je v beta verzi.

Zásady Azure Databricks založené na kontextu poskytují jednotný rámec zabezpečení pro správu příchozího i odchozího provozu do vašich pracovních prostorů i z nich a ke zdrojům na úrovni účtu (například ke konzoli účtu a Genie na úrovni účtu). Zásady pracovního prostoru se konfigurují v zásadách na úrovni pracovního prostoru s výchozí zásadou pracovního prostoru přiřazenou ke všem pracovním prostorům bez explicitního přiřazení. Zásada na úrovni účtu se konfiguruje samostatně pomocí jediného prvku account-policy.

Díky kontextově podmíněnému přístupu můžou správci omezit přístup k pracovnímu prostoru i účtu na základě kombinace identity, zdroje připojení a typu požadavku. Zásady odchozího přenosu dat bez serveru rozšiřují toto řízení na odchozí provoz omezením bezserverových úloh na autorizované cíle. Tyto zásady sítě společně pomáhají zajistit, aby přístup uživatelů i přesun dat zůstaly v rámci důvěryhodných hranic ve vaší organizaci.

Kontextové zásady sítě doplňují tyto stávající funkce zabezpečení:

  • Kontextové řízení příchozího přístupu
    • Přístupové seznamy IP adres pracovního prostoru
    • Seznamy přístupu k IP adresě účtu
    • Příchozí Private Link (s využitím nastavení privátního přístupu)
  • Řízení výchozího přenosu dat bez serveru:
    • Odchozí Private Link (s využitím konfigurací připojení k síti)

Výhody

Zásady sítě příchozího přenosu dat založené na kontextu poskytují pro zabezpečení sítě následující výhody:

  • Vylepšené zabezpečení: Zmírnění rizik neoprávněného přístupu a exfiltrace dat
  • Řízení s podporou identit: Podpora klientů SaaS bez stabilních rozsahů IP adres pomocí pravidel založených na identitách.
  • Flexibilní vynucování: Použití různých pravidel u různých typů požadavků, zdrojů a identit
  • Centralizovaná správa: Konfigurujte jednou na úrovni účtu a platí pro více pracovních prostorů.
  • Bezpečné testování: Pomocí režimu suchého spuštění otestujte dopady zásad před úplným vynucováním.

Porovnání typů zásad

Zásady sítě založené na kontextu zahrnují dva typy: řízení příchozího přenosu dat a řízení výchozího přenosu dat. Následující tabulka shrnuje klíčové rozdíly:

Vlastnost Řízení příchozího provozu Řízení výchozího přenosu dat
Co to řídí Příchozí požadavky na pracovní prostor Azure Databricks a koncové body na úrovni účtu. Odchozí připojení z bezserverového výpočetního prostředí k externím cílům
Primární případ použití Omezte, kdo může přistupovat k vašemu pracovnímu prostoru a prostředkům na úrovni účtu, odkud k nim může přistupovat a k čemu může získat přístup. Zabránit exfiltraci dat tím, že určuje, ke kterým externím prostředkům se může připojit bezserverové výpočetní prostředí.
Kritéria zásad Identita (více uživatelů nebo více instančních objektů)
Zdroj sítě (rozsah CIDR, registrované privátní koncové body)
Typ přístupu: pro pracovní prostory (uživatelské rozhraní pracovního prostoru, rozhraní API, aplikace, lakebase compute); pro účet (uživatelské rozhraní účtu, rozhraní API účtu)
Povolené lokality
Plně kvalifikované názvy domén
Kontejnery cloudového úložiště
Protokolování auditu system.access.inbound_network systémová tabulka system.access.outbound_network systémová tabulka

Jak fungují kontextové zásady

S řízením přístupu můžete:

  • Zastavte přístup z nedůvěryhodných sítí tím, že vyžaduje platné přihlašovací údaje i důvěryhodný zdroj sítě.
  • Povolte nástroje pro automatizaci SaaS s dynamickými IP adresami pomocí pravidel založených na identitě místo seznamů povolených IP adres.
  • Omezte citlivé operace na uživatelské rozhraní a zároveň povolte širší přístup k rozhraní API.
  • Omezte servisní principály s vysokými přístupovými právy jenom na rozsahy podnikové sítě.

S řízením odchozího provozu můžete:

  • Zabraňte exfiltraci dat omezením, ke kterým externím rozhraním API může bezserverová technologie přistupovat.
  • Povolte připojení pouze ke schváleným kontejnerům cloudového úložiště a externím databázím.
  • Zablokujte odchozí připojení k nepovoleným cílům, zatímco povolujete požadované integrace.
  • Vynucujte dodržování předpisů omezením přesunu dat na schválené oblasti a služby.
Průvodce konfigurací Description
Konfigurace ingresních politik Nastavte pravidla povolení a zamítnutí, která kombinují identitu, zdroj sítě a typ přístupu pro řízení příchozích požadavků do vašeho pracovního prostoru.
Konfigurace zásad výchozího přenosu dat Definujte pravidla odchozího připojení pro řízení, ke kterým externím cílům se můžou připojit výpočetní prostředky bez serveru.

Režimy vynucení

Kontextové zásady mají dva různé režimy vynucení:

  • Vynucený režim: Pravidla se aktivně používají. Porušující požadavky jsou zablokovány.
  • Suchý režim spuštění: Porušení jsou protokolována, ale nejsou blokována. Tento režim použijte k otestování dopadů zásad před vynucením.

Databricks doporučuje začít s suchým režimem spuštění, aby nedocházelo k neúmyslným přerušením přístupu.

Protokolování auditu

Azure Databricks protokoluje všechna vyhodnocení zásad pro dodržování předpisů a monitorování:

Dotazem na tyto protokoly ověřte efektivitu zásad a detekujte pokusy o neoprávněný přístup.

Interakce zásad s jinými ovládacími prvky

  • Přístupové seznamy IP adres: Přístupové seznamy IP adres i zásady příchozího přenosu dat založené na kontextu veřejného přístupu musí požadavek povolit. Pokud v nastavení privátního přístupu zakážete veřejný přístup, systém odmítne všechny veřejné požadavky bez ohledu na pravidla zásad příchozího přenosu dat.
  • Privátní připojení: databricks_ui_api Endpointy fungují společně se zásadami veřejného příchozího přístupu k pracovnímu prostoru, pokud je veřejný přístup povolen. Přístup na základě kontextu je jediným spolehlivým zdrojem pro zásady soukromého přístupu na úrovni účtu.
  • Profily zabezpečení: Kontextové zásady poskytují ovládací prvky na úrovni sítě, které doplňují zásady správného řízení výpočetních prostředků a dat.

Osvědčené postupy

  • Začněte s testovacím režimem, abyste před vynucováním ověřili chování politiky.
  • Používejte pravidla založená na identitě pro klienty SaaS s dynamickými IP adresami.
  • Nejprve použijte pravidla odepření u služebních principálů s vysokými oprávněními, abyste omezili riziko.
  • Pravidelně monitorujte protokoly auditu a detekujte neočekávané vzory přístupu.
  • Otestujte zásady výchozího přenosu dat, abyste zajistili, že požadované externí prostředky zůstanou přístupné.
  • Pro dlouhodobou udržovatelnost používejte popisné názvy zásad.