Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Databricks Apps prend en charge le contrôle réseau affiné pour vous aider à sécuriser et à gérer la façon dont votre application communique avec Internet et les ressources internes. Vous pouvez configurer des règles de trafic entrantes (entrantes) et sortantes à l’aide d’une combinaison de listes d’accès IP, de connectivité privée frontale et de stratégies réseau.
Architecture réseau
Azure Databricks déploie des applications sur le plan de calcul serverless, où elles reçoivent le trafic directement. Cela est similaire à d’autres services optimisés pour les itinéraires tels que Model Serve et Vector Search.
Le processus de connexion fonctionne comme suit :
- Les demandes utilisateur initiales adressées à une application Azure Databricks lancent l’authentification OAuth avec le plan de contrôle pour valider la session et autoriser l’accès à l’application.
- Une fois l’authentification réussie, toutes les demandes suivantes sont acheminées directement vers le plan de calcul serverless sans traverser le plan de contrôle.
Les stratégies de sécurité réseau configurées pour le plan de calcul serverless s’appliquent au trafic Databricks Apps. Cela inclut les listes d’accès IP et les configurations de connectivité privée frontale.
Contrôles d’entrée
Utilisez les fonctionnalités suivantes pour limiter l’accès à votre espace de travail Et applications Azure Databricks à partir de l’Internet public.
- Listes d’accès IP : Limitez l’accès de l’espace de travail et de l’application aux plages d’adresses IP connues et approuvées en activant les listes d’accès IP au niveau de l’espace de travail. Seul le trafic provenant des plages d’adresses IP configurées est autorisé. Pour plus d’informations, consultez Configurer les listes d’accès IP pour les espaces de travail.
Connectivité privée frontale : Acheminer le trafic d’entrée via une connexion Azure Private Link pour accéder en toute sécurité aux applications sur votre réseau virtuel.
Vous devez configurer le transfert DNS conditionnel pour le
databricksapps.comdomaine pour garantir une résolution de noms appropriée via votre connexion privée. Dans le cas contraire, les requêtes DNS pour le domaine de votre application peuvent être résolues en adresses IP publiques au lieu du point de terminaison privé. Pour obtenir des instructions d’installation, consultez Configurer une liaison privée frontale.
Contrôles d'égression
Pour contrôler le trafic sortant à partir de votre application, créez une configuration de connectivité réseau (CCN) et appliquez des stratégies réseau à l’espace de travail hébergeant l’application.
Configurations de connectivité réseau
Utilisez une configuration de connectivité réseau pour connecter en toute sécurité votre application aux services Azure. Les NCC fournissent des ID de sous-réseau stables que vous pouvez ajouter à un pare-feu de compte de stockage pour autoriser explicitement l’accès depuis votre application et d’autres services de calcul sans serveur.
Pour restreindre davantage le trafic de sortie vers des destinations privées, configurez des points de terminaison privés serverless pour les ressources Azure ou routez le trafic via un équilibreur de charge Azure dans votre réseau virtuel.
Stratégies réseau
Utilisez des stratégies réseau pour appliquer des restrictions de sortie sur les applications Databricks et d’autres charges de travail sans serveur. Cela est utile lorsque vous devez répondre aux exigences d’organisation ou de conformité pour contrôler la connectivité sortante.
Remarque
Les stratégies réseau ne sont disponibles que sur le niveau Premium.
Appliquez une stratégie réseau si votre application :
- Doit limiter l’accès à un ensemble spécifique de domaines externes approuvés
- Doit empêcher l’exfiltration accidentelle des données
- Doit se conformer aux normes de sécurité ou de conformité qui limitent le trafic Internet sortant
Meilleures pratiques pour la configuration des stratégies réseau
Suivez ces instructions pour éviter les interruptions involontaires et vous assurer que vos applications peuvent accéder aux ressources requises :
- Autorisez uniquement les destinations requises. Ajoutez des noms de domaine complets (FQDN) pour les ressources publiques ou privées dont votre application a besoin.
- Incluez les référentiels de paquets en fonction des besoins. Si votre application installe des packages Python ou Node.js publics, vous pouvez autoriser des domaines tels que
pypi.orgPython ouregistry.npmjs.orgNode. Votre application peut nécessiter des domaines supplémentaires ou différents en fonction de vos dépendances spécifiques. Sans ces référentiels, les builds d’application qui s’appuient surrequirements.txtoupackage.jsonpeuvent échouer. - Utilisez le mode d’exécution à sec pour valider votre stratégie réseau. Ce mode simule l’application de la stratégie sans bloquer le trafic.
- Passez en revue les tentatives de connexion refusées en utilisant la table
system.access.outbound_network. Cela vous aide à identifier les domaines que vous devrez peut-être autoriser. Consultez Vérifier les journaux de déni.
- Ajoutez tous les domaines externes requis, tels que les API approuvées ou les comptes de stockage Azure non inscrits dans le catalogue Unity.
Chiffrement et routage du trafic
Databricks Apps utilise des chemins d’accès de routage dédiés et plusieurs couches de chiffrement pour sécuriser les communications réseau et protéger les données.
Routage du trafic
Le trafic entre le plan de contrôle Azure Databricks, le plan de calcul, d’autres ressources Azure Databricks et les services cloud se déplace sur le réseau global du fournisseur de cloud et ne traverse pas l’Internet public.
Le trafic entre les utilisateurs et databricksapps.com peut traverser l’Internet public en fonction de l’emplacement réseau de l’utilisateur. Pour éviter le routage Internet public, configurez la connectivité privée frontale.
Chiffrement en transit
Toutes les communications réseau vers et depuis des applications sont chiffrées :
-
Trafic utilisateur : La communication entre les utilisateurs et
databricksapps.comutilise le chiffrement TLS (Transport Layer Security) 1.3. - Trafic du plan de contrôle : La communication entre le plan de contrôle Azure Databricks et le plan de calcul utilise le protocole TLS mutuel (mTLS) pour les opérations de gestion, notamment la création d’applications, les mises à jour et la suppression.
Chiffrement des données au repos
Databricks Apps chiffre les données stockées à l’aide des méthodes suivantes :
- Code d’application : Azure Databricks stocke le code de l’application dans les fichiers d’espace de travail et utilise le même chiffrement que les notebooks et d’autres fichiers d’espace de travail.
- Stockage de calcul : Les applications utilisent des disques de système d’exploitation hôte éphémères chiffrés avec AES-256 et l’implémentation de chiffrement par défaut du fournisseur cloud.