Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Important
Kontextová zásada příchozího přenosu dat na úrovni účtu je v beta verzi.
Zásady Azure Databricks založené na kontextu poskytují jednotný rámec zabezpečení pro správu příchozího i odchozího provozu do vašich pracovních prostorů i z nich a ke zdrojům na úrovni účtu (například ke konzoli účtu a Genie na úrovni účtu). Zásady pracovního prostoru se konfigurují v zásadách na úrovni pracovního prostoru s výchozí zásadou pracovního prostoru přiřazenou ke všem pracovním prostorům bez explicitního přiřazení. Zásada na úrovni účtu se konfiguruje samostatně pomocí jediného prvku account-policy.
Díky kontextově podmíněnému přístupu můžou správci omezit přístup k pracovnímu prostoru i účtu na základě kombinace identity, zdroje připojení a typu požadavku. Zásady odchozího přenosu dat bez serveru rozšiřují toto řízení na odchozí provoz omezením bezserverových úloh na autorizované cíle. Tyto zásady sítě společně pomáhají zajistit, aby přístup uživatelů i přesun dat zůstaly v rámci důvěryhodných hranic ve vaší organizaci.
Kontextové zásady sítě doplňují tyto stávající funkce zabezpečení:
- Kontextové řízení příchozího přístupu
- Přístupové seznamy IP adres pracovního prostoru
- Seznamy přístupu k IP adresě účtu
- Příchozí Private Link (s využitím nastavení privátního přístupu)
- Řízení výchozího přenosu dat bez serveru:
- Odchozí Private Link (s využitím konfigurací připojení k síti)
Výhody
Zásady sítě příchozího přenosu dat založené na kontextu poskytují pro zabezpečení sítě následující výhody:
- Vylepšené zabezpečení: Zmírnění rizik neoprávněného přístupu a exfiltrace dat
- Řízení s podporou identit: Podpora klientů SaaS bez stabilních rozsahů IP adres pomocí pravidel založených na identitách.
- Flexibilní vynucování: Použití různých pravidel u různých typů požadavků, zdrojů a identit
- Centralizovaná správa: Konfigurujte jednou na úrovni účtu a platí pro více pracovních prostorů.
- Bezpečné testování: Pomocí režimu suchého spuštění otestujte dopady zásad před úplným vynucováním.
Porovnání typů zásad
Zásady sítě založené na kontextu zahrnují dva typy: řízení příchozího přenosu dat a řízení výchozího přenosu dat. Následující tabulka shrnuje klíčové rozdíly:
| Vlastnost | Řízení příchozího provozu | Řízení výchozího přenosu dat |
|---|---|---|
| Co to řídí | Příchozí požadavky na pracovní prostor Azure Databricks a koncové body na úrovni účtu. | Odchozí připojení z bezserverového výpočetního prostředí k externím cílům |
| Primární případ použití | Omezte, kdo může přistupovat k vašemu pracovnímu prostoru a prostředkům na úrovni účtu, odkud k nim může přistupovat a k čemu může získat přístup. | Zabránit exfiltraci dat tím, že určuje, ke kterým externím prostředkům se může připojit bezserverové výpočetní prostředí. |
| Kritéria zásad | Identita (více uživatelů nebo více instančních objektů) Zdroj sítě (rozsah CIDR, registrované privátní koncové body) Typ přístupu: pro pracovní prostory (uživatelské rozhraní pracovního prostoru, rozhraní API, aplikace, lakebase compute); pro účet (uživatelské rozhraní účtu, rozhraní API účtu) |
Povolené lokality Plně kvalifikované názvy domén Kontejnery cloudového úložiště |
| Protokolování auditu |
system.access.inbound_network systémová tabulka |
system.access.outbound_network systémová tabulka |
Jak fungují kontextové zásady
S řízením přístupu můžete:
- Zastavte přístup z nedůvěryhodných sítí tím, že vyžaduje platné přihlašovací údaje i důvěryhodný zdroj sítě.
- Povolte nástroje pro automatizaci SaaS s dynamickými IP adresami pomocí pravidel založených na identitě místo seznamů povolených IP adres.
- Omezte citlivé operace na uživatelské rozhraní a zároveň povolte širší přístup k rozhraní API.
- Omezte servisní principály s vysokými přístupovými právy jenom na rozsahy podnikové sítě.
S řízením odchozího provozu můžete:
- Zabraňte exfiltraci dat omezením, ke kterým externím rozhraním API může bezserverová technologie přistupovat.
- Povolte připojení pouze ke schváleným kontejnerům cloudového úložiště a externím databázím.
- Zablokujte odchozí připojení k nepovoleným cílům, zatímco povolujete požadované integrace.
- Vynucujte dodržování předpisů omezením přesunu dat na schválené oblasti a služby.
| Průvodce konfigurací | Description |
|---|---|
| Konfigurace ingresních politik | Nastavte pravidla povolení a zamítnutí, která kombinují identitu, zdroj sítě a typ přístupu pro řízení příchozích požadavků do vašeho pracovního prostoru. |
| Konfigurace zásad výchozího přenosu dat | Definujte pravidla odchozího připojení pro řízení, ke kterým externím cílům se můžou připojit výpočetní prostředky bez serveru. |
Režimy vynucení
Kontextové zásady mají dva různé režimy vynucení:
- Vynucený režim: Pravidla se aktivně používají. Porušující požadavky jsou zablokovány.
- Suchý režim spuštění: Porušení jsou protokolována, ale nejsou blokována. Tento režim použijte k otestování dopadů zásad před vynucením.
Databricks doporučuje začít s suchým režimem spuštění, aby nedocházelo k neúmyslným přerušením přístupu.
Protokolování auditu
Azure Databricks protokoluje všechna vyhodnocení zásad pro dodržování předpisů a monitorování:
- Ingress: Zaznamenán v systémové tabulce
system.access.inbound_network. - Výchozí přenos dat: Zaprotokolováno v
system.access.outbound_networksystémové tabulce.
Dotazem na tyto protokoly ověřte efektivitu zásad a detekujte pokusy o neoprávněný přístup.
Interakce zásad s jinými ovládacími prvky
- Přístupové seznamy IP adres: Přístupové seznamy IP adres i zásady příchozího přenosu dat založené na kontextu veřejného přístupu musí požadavek povolit. Pokud v nastavení privátního přístupu zakážete veřejný přístup, systém odmítne všechny veřejné požadavky bez ohledu na pravidla zásad příchozího přenosu dat.
-
Privátní připojení:
databricks_ui_apiEndpointy fungují společně se zásadami veřejného příchozího přístupu k pracovnímu prostoru, pokud je veřejný přístup povolen. Přístup na základě kontextu je jediným spolehlivým zdrojem pro zásady soukromého přístupu na úrovni účtu.
- Profily zabezpečení: Kontextové zásady poskytují ovládací prvky na úrovni sítě, které doplňují zásady správného řízení výpočetních prostředků a dat.
Osvědčené postupy
- Začněte s testovacím režimem, abyste před vynucováním ověřili chování politiky.
- Používejte pravidla založená na identitě pro klienty SaaS s dynamickými IP adresami.
- Nejprve použijte pravidla odepření u služebních principálů s vysokými oprávněními, abyste omezili riziko.
- Pravidelně monitorujte protokoly auditu a detekujte neočekávané vzory přístupu.
- Otestujte zásady výchozího přenosu dat, abyste zajistili, že požadované externí prostředky zůstanou přístupné.
- Pro dlouhodobou udržovatelnost používejte popisné názvy zásad.