Uživatelé a síť Azure Databricks

Tato příručka popisuje funkce pro přizpůsobení síťového přístupu mezi uživateli a jejich pracovními prostory Azure Databricks a prostředky na úrovni účtu.

Ve výchozím nastavení se uživatelé a aplikace můžou připojit k Azure Databricks z libovolné IP adresy. Uživatelé můžou přistupovat k důležitým zdrojům dat pomocí Azure Databricks. Pokud jsou přihlašovací údaje uživatele ohroženy útokem phishing nebo podobným útokem, zabezpečení přístupu k síti výrazně snižuje riziko převzetí účtu. Konfigurace, jako jsou privátní připojení, seznamy přístupu IP a brány firewall, pomáhají zabezpečit důležitá data.

Můžete také nakonfigurovat funkce ověřování a řízení přístupu pro ochranu přihlašovacích údajů uživatelů, viz Ověřování a řízení přístupu.

Poznámka

Uživatelé, kteří potřebují zabezpečené síťové funkce Azure Databricks, vyžadují plán Premium.

Privátní připojení

Mezi uživateli Azure Databricks a řídicí rovinou poskytuje Private Link silné ovládací prvky, které omezují zdroj příchozích požadavků. Pokud vaše organizace směruje provoz přes prostředí Azure, můžete pomocí služby Private Link zajistit, aby komunikace mezi uživateli a řídicí rovinou Databricks neprocházela veřejné IP adresy. Viz Konfigurace příchozího privátního propojení.

Řízení příchozího přenosu dat na základě kontextu

Důležité

Tato funkce je ve verzi Public Preview.

Řízení příchozího přístupu na základě kontextu poskytuje zásady na úrovni účtu, které kombinují identitu, typ požadavku a síťový zdroj a slouží k určení, kdo může přistupovat k vašemu pracovnímu prostoru nebo k prostředkům na úrovni účtu.

Zásady vstupu umožňují:

  • Povolte nebo odepřete přístup k uživatelskému rozhraní pracovního prostoru, rozhraním API nebo výpočetním prostředkům Lakebase.
  • Použijte pravidla pro všechny uživatele, všechny instanční objekty nebo konkrétní vybrané identity.
  • Udělte nebo zablokujte přístup ze všech veřejných IP adres nebo z konkrétních rozsahů IP adres.
  • Spusťte v testovacím režimu pro zaznamenání odepření bez blokování provozu, nebo v režimu vynucení, aby se aktivně blokovaly nedůvěryhodné požadavky.
  • Povolit nebo odepřít přístup k uživatelskému rozhraní arozhraním API na úrovni účtu (například přístup ke konzole účtu).
  • Udělte nebo zablokujte přístup ze všech registrovaných privátních koncových bodů nebo z konkrétních registrovaných privátních koncových bodů.

Každý účet obsahuje výchozí zásady příchozího provozu, které platí pro všechny oprávněné pracovní prostory.

Každý účet také zahrnuje jeden account-policy, který platí pro všechny prostředky na úrovni účtu. Seznamy přístupu k IP adresám konzoly pracovního prostoru a účtu se stále podporují, ale vyhodnocují se až poté, co zásady příchozího přenosu dat založené na kontextu umožňují požadavek.

Další informace naleznete v tématu Kontrola přístupu na základě kontextu.

Přístupové seznamy IP adres

Ověřování prokáže identitu uživatele, ale nevynucuje síťové umístění uživatele. Přístup ke cloudové službě z nezabezpečené sítě představuje bezpečnostní rizika, zejména pokud uživatel může mít autorizovaný přístup k citlivým nebo osobním údajům. Pomocí přístupových seznamů IP můžete nakonfigurovat pracovní prostory Azure Databricks tak, aby se uživatelé připojovali ke službě jenom prostřednictvím stávajících sítí se zabezpečeným hraničním zařízením.

Můžete také použít přístupové seznamy IP adres k řízení přístupu k prostředkům na úrovni účtu.

Správci můžou zadat IP adresy, které mají povolený přístup k Azure Databricks. Můžete také zadat IP adresy nebo podsítě, které se mají blokovat. Podrobnosti najdete v tématu Správa přístupových seznamů IP adres.

Službu Private Link můžete také použít k blokování veškerého veřejného přístupu k internetu k pracovnímu prostoru Azure Databricks.

Pravidla brány firewall

Mnoho organizací používá bránu firewall k blokování provozu na základě názvů domén. Pokud chcete zajistit přístup k prostředkům Azure Databricks, musíte povolit seznam názvů domén Azure Databricks. Další informace viz Konfigurace pravidel firewallu pro doménová jména.

Azure Databricks také provádí ověřování hlaviček hostitele, aby se zajistilo, že požadavky používají autorizované domény Azure Databricks, jako je .azuredatabricks.net. Požadavky využívající domény mimo síť Azure Databricks se zablokují. Tato bezpečnostní opatření chrání před potenciálními útoky hlaviček hostitele HTTP.