Kontextbasierte Netzwerkrichtlinien

Wichtig

Die kontextbasierte Eingangsrichtlinie auf Kontoebene befindet sich in der Betaversion.

Azure Databricks-Richtlinien auf Kontextbasis bieten einen einheitlichen Sicherheitsrahmen für die Verwaltung sowohl des eingehenden als auch des ausgehenden Datenverkehrs für Ihre Arbeitsbereiche und Ressourcen auf Kontoebene (z. B. die Kontokonsole und Genie auf Kontoebene). Arbeitsbereichsrichtlinien werden in Richtlinien auf Arbeitsbereichsebene konfiguriert, wobei eine Standardarbeitsbereichsrichtlinie allen Arbeitsbereichen ohne explizite Zuweisung zugewiesen ist. Die Richtlinie auf Kontoebene wird separat mithilfe der einzelnen account-policykonfiguriert.

Mit kontextbasiertem eingehendem Zugriff können Administratoren den Zugriff auf Arbeitsbereichs- und Kontoebene auf der Grundlage einer Kombination aus Identität, Netzwerkquelle und Anfragetyp einschränken. Serverlose Ausgangsrichtlinien erweitern dieses Steuerelement auf ausgehenden Datenverkehr, indem serverlose Workloads auf autorisierte Ziele beschränkt werden. Zusammen tragen diese Netzwerkrichtlinien dazu bei, sicherzustellen, dass sowohl der Benutzerzugriff als auch die Datenverschiebung innerhalb vertrauenswürdiger Grenzen in Ihrer Organisation verbleiben.

Kontextbasierte Netzwerkrichtlinien ergänzen diese vorhandenen Sicherheitsfeatures:

  • Kontextbasierte Zugriffskontrolle
    • IP-Zugriffslisten für Arbeitsbereiche
    • Konto-IP-Zugriffslisten
    • Eingehender Private Link (mit Einstellungen für den privaten Zugriff)
  • Serverloses Ausgangssteuerelement:
    • Ausgehender Private Link (unter Verwendung von Netzwerkkonnektivitätskonfigurationen)

Vorteile

Kontextbasierte Netzwerkrichtlinien bieten die folgenden Vorteile für Ihre Netzwerksicherheit:

  • Verbesserte Sicherheit: Risiken durch unbefugten Zugriff und Datenexfiltration mindern.
  • Identitätsfähige Steuerung: Unterstützen Sie SaaS-Clients ohne stabile IP-Bereiche mithilfe von identitätsbasierten Regeln.
  • Flexible Erzwingung: Wenden Sie unterschiedliche Regeln auf unterschiedliche Anforderungstypen, Quellen und Identitäten an.
  • Zentrale Verwaltung: Einmal auf Kontoebene konfigurieren, auf mehrere Arbeitsbereiche anwenden.
  • Sicheres Testen: Verwenden Sie den Trockenlaufmodus, um die Auswirkungen von Richtlinien zu testen, bevor Sie sie vollständig erzwingen.

Richtlinientypen verglichen

Kontextbasierte Netzwerkrichtlinien umfassen zwei Typen: Eingangssteuerung und Ausgangssteuerung. In der folgenden Tabelle sind die wichtigsten Unterschiede zusammengefasst:

Merkmal Zugangskontrolle Ausgangskontrolle
Was sie steuert Eingehende Anfragen an Endpunkte auf Arbeitsbereichs- und Kontoebene von Azure Databricks. Ausgehende Verbindungen von Serverless Compute zu externen Zielen.
Primärer Anwendungsfall Beschränken Sie, wer auf Ihre Arbeitsbereichs- und Kontoebenenressourcen zugreifen kann, von wo aus und was sie erreichen können. Verhindern Sie die Datenexfiltration, indem Sie steuern, mit welchen externen Ressourcen Serverless Compute eine Verbindung herstellen kann.
Richtlinienkriterien Identität (mehrere Benutzer oder mehrere Dienstprinzipale)
Netzwerkquelle (CIDR-Bereich, registrierte private Endpunkte)
Zugriffstyp: für Arbeitsbereiche (Arbeitsbereichs-UI, API, Apps, Lakebase Compute); für Konto (Kontobenutzeroberfläche, Konto-API)
Zulässige Orte
vollqualifizierte Domainnamen (FQDNs)
Cloudspeichercontainer
Überwachungsprotokollierung system.access.inbound_network Systemtabelle system.access.outbound_network Systemtabelle

Funktionsweise kontextbasierter Richtlinien

Mit der Zugangskontrolle können Sie:

  • Beenden Sie den Zugriff von nicht vertrauenswürdigen Netzwerken, indem Sie sowohl gültige Anmeldeinformationen als auch eine vertrauenswürdige Netzwerkquelle benötigen.
  • Lassen Sie SaaS-Automatisierungstools mit dynamischen IPs zu, indem Sie identitätsbasierte Regeln anstelle von IP-Zulassungslisten verwenden.
  • Beschränken Sie vertrauliche Vorgänge auf die Benutzeroberfläche, und ermöglichen Sie einen umfassenderen API-Zugriff.
  • Beschränken Sie Dienstprinzipale mit hoher Berechtigung nur auf Unternehmensnetzwerkbereiche.

Mit der Ausgangskontrolle können Sie:

  • Verhindern Sie datenexfiltration, indem Sie einschränken, welche externen APIs Serverless Compute erreichen kann.
  • Konnektivität nur für genehmigte Cloudspeicher-Buckets und externe Datenbanken zulassen.
  • Blockieren Sie ausgehende Verbindungen mit nicht autorisierten Zielen, während erforderliche Integrationen zulässig sind.
  • Erzwingen Sie die Compliance, indem Sie die Datenverschiebung auf genehmigte Regionen und Dienste beschränken.
Konfigurationsleitfaden Description
Konfigurieren von Eingangsrichtlinien Richten Sie Zulassungs- und Ablehnungsregeln ein, die Identität, Netzwerkquelle und Zugriffstyp kombinieren, um eingehende Anforderungen an Ihren Arbeitsbereich zu steuern.
Ausgangsrichtlinien konfigurieren Definieren Sie ausgehende Verbindungsregeln, um zu steuern, welche externen Ziele Ihre Serverless-Computeressourcen erreichen können.

Durchsetzungsmodi

Kontextbasierte Richtlinien weisen zwei verschiedene Erzwingungsmodi auf:

  • Erzwungener Modus: Regeln werden aktiv angewendet. Anfragen, die gegen Regeln verstoßen, werden blockiert.
  • Trockenlaufmodus: Verstöße werden protokolliert, aber nicht blockiert. Verwenden Sie diesen Modus, um Richtlinieneinwirkungen vor der Erzwingung zu testen.

Databricks empfiehlt, mit dem Trockenlaufmodus zu beginnen, um unbeabsichtigte Zugriffsunterbrechungen zu vermeiden.

Überwachungsprotokollierung

Azure Databricks protokolliert alle Richtlinienauswertungen für Compliance und Überwachung:

Abfragen Sie diese Protokolle, um die Effektivität der Richtlinie zu überprüfen und nicht autorisierte Zugriffsversuche zu erkennen.

Interaktion von Richtlinien mit anderen Steuerelementen

  • IP-Zugriffslisten: Sowohl IP-Zugriffslisten als auch kontextbasierte Eingangsrichtlinien für den öffentlichen Zugriff müssen eine Anforderung zulassen. Wenn Sie den öffentlichen Zugriff in Ihrer privaten Zugriffseinstellungen deaktivieren, verweigert das System alle öffentlichen Anforderungen unabhängig von Ingress-Policy-Regeln.
  • Private Konnektivität: databricks_ui_api Endpunkte arbeiten zusammen mit öffentlichen Eingangsrichtlinien des Arbeitsbereichs, wenn der öffentliche Zugriff aktiviert ist. Kontextbasiertes Ingress ist die einzige Quelle der Wahrheit für Richtlinien für den privaten Zugriff auf Kontoebene.
  • Sicherheitsprofile: Kontextbasierte Richtlinien bieten Steuerelemente auf Netzwerkebene, die die Compute- und Datengovernance ergänzen.

Bewährte Methoden

  • Beginnen Sie mit dem Trockenlaufmodus, um das Richtlinienverhalten vor der Erzwingung zu überprüfen.
  • Verwenden Sie identitätsbasierte Regeln für SaaS-Clients mit dynamischen IP-Adressen.
  • Wenden Sie Verweigerungsregeln zuerst auf Dienstprinzipale mit hoher Berechtigungsstufe an, um das Risiko zu begrenzen.
  • Überwachen Sie Überwachungsprotokolle regelmäßig, um unerwartete Zugriffsmuster zu erkennen.
  • Testen Sie Egress-Richtlinien, um sicherzustellen, dass erforderliche externe Ressourcen zugänglich bleiben.
  • Verwenden Sie beschreibende Richtliniennamen, um eine langfristige Wartung zu gewährleisten.