Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité managée est l’architecture réseau de référence. Il déploie Azure Databricks dans votre propre réseau virtuel avec SCC activé par défaut sur le calcul classique. Vous pouvez, si vous le souhaitez, ajouter Private Link classique pour une connectivité privée au plan de contrôle.
Note
Contrairement à la connectivité renforcée et à l’environnement isolé, la sécurité gérée ne nécessite pas l’offre Premium d’Azure Databricks. L’activation du plan de calcul classique facultatif Private Link est la seule configuration qui nécessite ce niveau.
Azure Databricks teste la plateforme avec des tests d’intrusion tiers annuels et un programme de primes aux bogues publics. Consultez l’Addenda de sécurité Databricks.
Cette configuration comporte les éléments suivants :
- Secure par défaut : Azure Databricks active SCC, le chiffrement en transit et l’accès à l’espace de travail authentifié par défaut.
- Connectivité privée facultative au plan de contrôle : ajoutez Private Link au plan de calcul classique pour acheminer le trafic de calcul classique vers le plan de contrôle Azure Databricks via un réseau privé. Nécessite Azure Databricks niveau Premium.
- Réseau géré par le client : déployez-le dans votre propre réseau virtuel pour contrôler les plages d’adresses IP, le routage et les groupes de sécurité.
- Calcul sans serveur: utilisez des entrepôts SQL sans serveur et du calcul sans serveur pour les notebooks et les tâches.
Utilisez cette configuration quand :
- Prise en main de Azure Databricks pour la première fois.
- Exécution de charges de travail non réglementées sans exigences strictes d’isolation réseau.
- Préférez la simplicité opérationnelle sur les contrôles réseau personnalisés.
- Utilisation du calcul serverless comme option de calcul principale.
Composants requis
Trafic entrant
L’accès à l’espace de travail utilise l’identité et l’authentification standard. Pour un contrôle de référence supplémentaire, configurez une stratégie d’entrée basée sur le contexte pour restreindre l’accès à l’espace de travail et à l’API aux réseaux de votre organisation, tels que les VPN d’entreprise, les plages d’adresses IP office et les identités. Cela ajoute une défense en profondeur sans nécessiter de connectivité privée.
Consultez le contrôle d’entrée basé sur le contexte.
Sortant
L’accès aux données est régi par le catalogue Unity. Consultez Qu’est-ce que Unity Catalog ?. Pour un contrôle de référence supplémentaire, vous pouvez éventuellement déployer un pare-feu externe pour inspecter la sortie de calcul classique.
Pare-feu externe (facultatif)
Acheminer le trafic sortant du calcul classique via un pare-feu externe pour l’inspection, la journalisation et l’application des règles. Obligatoire dans l’environnement isolé ; facultatif ici.
Les options incluent Pare-feu Azure ou une appliance virtuelle réseau tierce (NVA).
Avertissement
Le plan de contrôle Azure Databricks et les connexions de relais SCC utilisent TLS avec l’épinglage des certificats. N’activez pas l’inspection TLS (déchiffrer et rechiffrer) sur le trafic entre vos clusters et le plan de contrôle Azure Databricks. Cela entraîne des défaillances du cluster. Consultez Adresses IP et domaines des services et ressources Azure Databricks pour les points de terminaison requis.
Calcul classique
Si vous utilisez le calcul classique, la sécurité managée applique les contrôles suivants par défaut :
Sécurisation de la connectivité des clusters
Élimine les adresses IP publiques sur les nœuds de cluster. Activé par défaut sans configuration supplémentaire requise.
Consultez Activer la connectivité sécurisée du cluster.
Injection de VNet
Déployez Azure Databricks dans votre propre réseau virtuel pour contrôler les plages d’adresses IP, le routage et les groupes de sécurité réseau. Obligatoire pour les Private Link classiques.
Consultez Déployer Azure Databricks dans votre réseau virtuel Azure (injection de réseau virtuel).
Le contrôle suivant est facultatif :
Classic compute plane Private Link (facultatif)
Fournit une connectivité privée entre votre réseau virtuel et le plan de contrôle Azure Databricks. L’API REST et le trafic de relais SCC entre les clusters et le plan de contrôle restent privés au lieu d’utiliser l’Internet public. Nécessite Azure Databricks niveau Premium et n’est pas activé par défaut.
Consultez Configurer la connectivité privée du plan de calcul classique pour Azure Databricks.
Pour les contrôles de sécurité non réseau, notamment le chiffrement, consultez Sécurité et conformité.
Chemins de mise à niveau
| Chemin de mise à niveau | Quand mettre à niveau |
|---|---|
| Connectivité renforcée | Si vous avez besoin de contrôles d’accès d’espace de travail basés sur IP, de contrôles de sortie serverless, de points de terminaison VPC pour l’accès au service cloud ou d’un pare-feu externe facultatif pour l’inspection de sortie. |
| Environnement isolé | Si vous avez besoin d’un accès d’espace de travail privé (via VPN ou Private Link entrant) et d’un pare-feu externe requis pour l’isolation réseau de bout en bout. |