Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Hinweis
Für dieses Feature ist die Premium-Stufe erforderlich.
Auf dieser Seite wird erläutert, wie Sie mit der serverlosen Übergabesteuerung ausgehende Netzwerkverbindungen von Ihren serverlosen Computeressourcen verwalten können.
Informationen zur Zugriffskontrolle finden Sie unter Kontextbasierte Zugriffskontrolle.
Die Kontrolle über den serverlosen Ausgang stärkt Ihren Sicherheitsstatus, indem Sie ausgehende Verbindungen von Ihren serverlosen Workloads verwalten und das Risiko der Datenexfiltration verringern können.
Verwendung von Netzwerkrichtlinien ermöglicht Ihnen:
- Standardmäßig Ablehnung erzwingen: Steuern Sie den ausgehenden Zugriff mit granularer Präzision, indem Sie eine standardmäßig verweigernde Richtlinie für Internetwork-, Cloud-Speicher- und Databricks-API-Verbindungen aktivieren.
- Verwaltung vereinfachen: Definieren Sie eine konsistente ausgehende Kontrolle für alle Ihre serverlosen Arbeitsauslastungen über mehrere serverlose Produkte hinweg.
- Einfache Verwaltung in großem Umfang: Verwalten Sie zentral Ihre Haltung über mehrere Arbeitsbereiche hinweg und erzwingen Sie eine Standardrichtlinie für Ihre Databricks-Firma.
- Sichere Implementierung von Richtlinien: Minimieren Sie Risiken, indem Sie die Auswirkungen einer neuen Richtlinie zuerst im Trockenlaufmodus vor der vollständigen Durchsetzung auswerten.
Die Serverlose Ausgangssteuerung wird mit den folgenden serverlosen Produkten unterstützt: Notizbücher, Workflows, SQL-Lagerhäuser, Lakeflow Spark Declarative Pipelines, Mosaik AI Model Serving, Datenqualitätsüberwachung und Databricks-Apps mit eingeschränkter Unterstützung.
Hinweis
Durch aktivieren von Ausgangsbeschränkungen für einen Arbeitsbereich wird verhindert, dass Databricks-Apps auf nicht autorisierte Ressourcen zugreifen. Die Implementierung von Ausgangsbeschränkungen kann sich jedoch auf die Anwendungsfunktionalität auswirken.
Netzwerkrichtlinienübersicht
Eine Netzwerkrichtlinie ist ein Konfigurationsobjekt, das auf Kontoebene angewendet wird. Während eine einzelne Netzwerkrichtlinie mehreren Arbeitsbereichen zugeordnet werden kann, kann jeder Arbeitsbereich nur jeweils mit einer Richtlinie verknüpft werden.
Netzwerkrichtlinien definieren den Netzwerkzugriffsmodus für serverlose Workloads innerhalb der zugehörigen Arbeitsbereiche. Es gibt zwei Hauptmodi:
Voller Zugriff: Serverlose Arbeitsauslastungen haben uneingeschränkten ausgehenden Zugriff auf das Internet und andere Netzwerkressourcen.
Eingeschränkter Zugriff: Ausgehender Zugriff ist auf Folgendes beschränkt:
- Externe Speicherorte des Unity-Katalogs: Externe Speicherorte, die im Unity-Katalog konfiguriert sind, auf die über den Arbeitsbereich zugegriffen werden kann. Der Unity-Katalogbereich muss mit der Azure-Speicherkontoregion identisch sein.
- Eindeutig definierte Ziele: FQDNs und Azure-Speicherkonto sind in der Netzwerkrichtlinie aufgeführt.
Richtlinien regeln nicht nur ausgehenden Zugriff. Sie können auch Ingress-Kontrollen enthalten, die bestimmen, wie der Netzwerkdatenverkehr in das System gelangt. Ausführliche Informationen zum Konfigurieren von Eingangssteuerelementen finden Sie unter Kontextbasiertes Eingangssteuerelement.
Sicherheitsstatus
Wenn eine Netzwerkrichtlinie auf den Modus für eingeschränkten Zugriff gesetzt ist, werden ausgehende Netzwerkverbindungen von serverlosen Workloads streng kontrolliert.
| Verhalten | Details |
|---|---|
| Standardmäßig ausgehende Konnektivität verweigern | Serverless-Workloads haben nur Zugriff auf Folgendes: Ziele, die über externe Standorte im Unity Catalog konfiguriert wurden, welche standardmäßig erlaubt sind, FQDNs oder Speicherorte, die in der Richtlinie definiert sind, und APIs des gleichen Arbeitsbereichs wie die Workload. Der Unity-Katalogbereich muss mit der Azure-Speicherkontoregion identisch sein. Der arbeitsbereichübergreifende Zugriff wurde verweigert. |
| Kein direkter Speicherzugriff | Der direkte Zugriff von Benutzercode in UDFs und Notebooks ist unzulässig. Verwenden Sie stattdessen Databricks-Abstraktionen wie Unity Catalog oder DBFS-Einbindungen. DBFS-Bereitstellungen ermöglichen sicheren Zugriff auf Daten im Azure-Speicherkonto, das in der Netzwerkrichtlinie aufgeführt ist. |
| Implizit zulässige Ziele | Sie können immer auf das Azure-Speicherkonto zugreifen, das Ihrem Arbeitsbereich, wesentlichen Systemtabellen und Beispieldatensätzen zugeordnet ist (schreibgeschützt). |
| Durchsetzung von Richtlinien für private Endpunkte | Ausgehender Zugriff über private Endpunkte unterliegt ebenfalls den in der Netzwerkrichtlinie definierten Regeln. Das Ziel muss entweder im Unity-Katalog aufgeführt sein oder in der Richtlinie. Dies gewährleistet eine konsistente Durchsetzung der Sicherheit über alle Netzwerkzugriffsmethoden hinweg. |