Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
I criteri di ingresso basati sul contesto a livello di account sono in versione beta.
Azure Databricks i criteri basati sul contesto forniscono un framework di sicurezza unificato per gestire sia il traffico in entrata sia quello in uscita verso le aree di lavoro e le risorse a livello di account, ad esempio la console dell'account e Genie a livello di account. I criteri dell'area di lavoro sono configurati nei criteri a livello di area di lavoro, con un criterio dell'area di lavoro predefinito assegnato a tutte le aree di lavoro senza assegnazione esplicita. Il criterio a livello di account viene configurato separatamente tramite il singolo account-policy.
Con l'ingresso basato sul contesto, gli amministratori possono limitare l'accesso a livello di area di lavoro e account in base a una combinazione di identità, origine di rete e tipo di richiesta. Le policy di uscita serverless estendono questo controllo al traffico in uscita limitando le operazioni serverless alle destinazioni autorizzate. Insieme, questi criteri di rete consentono di garantire che l'accesso degli utenti e lo spostamento dei dati rimangano entro limiti attendibili all'interno dell'organizzazione.
I criteri di rete basati sul contesto integrano queste funzionalità di sicurezza esistenti:
- Controllo di ingresso basato sul contesto:
- Elenchi di accesso IP dell'area di lavoro
- Elenchi di accesso IP dell'account
- collegamento privato in ingresso (tramite le impostazioni di accesso privato)
- Controllo in uscita serverless:
- collegamento privato in uscita (tramite configurazioni della connettività di rete)
Vantaggi
I criteri di rete in ingresso basati sul contesto offrono i vantaggi seguenti per la sicurezza di rete:
- Sicurezza avanzata: ridurre i rischi di accesso non autorizzato ed esfiltrazione dei dati.
- Controllo compatibile con le identità: supportare i client SaaS senza intervalli IP stabili usando regole basate su identità.
- Applicazione flessibile: applicare regole diverse a tipi di richiesta, origini e identità diversi.
- Gestione centralizzata: configurare una sola volta a livello di account, applicare tra più aree di lavoro.
- Test sicuri: usare la modalità di esecuzione secca per testare gli impatti dei criteri prima dell'applicazione completa.
Tipi di criteri confrontati
I criteri di rete basati sul contesto includono due tipi: controllo in ingresso e controllo in uscita. Nella tabella seguente sono riepilogate le differenze principali:
| Attribute | Controllo degli accessi | Controllo di uscita |
|---|---|---|
| Che cosa controlla | Richieste in ingresso agli endpoint dell'area di lavoro di Azure Databricks e a livello di account. | Le connessioni in uscita dal calcolo serverless verso destinazioni esterne. |
| Caso d'uso principale | Limitare gli utenti che possono accedere all'area di lavoro e alle risorse a livello di account, da dove e a cosa possono raggiungere. | Impedire l'esfiltrazione di dati controllando a quali risorse esterne può connettersi il calcolo serverless. |
| Criteri della politica | Identità (più utenti o più entità servizio) Origine di rete (intervallo CIDR, endpoint privati registrati) Tipo di accesso: per i workspace (interfaccia utente dei workspace, API dei workspace, App, Lakebase Compute); per l'account (interfaccia utente dell'account, API dell'account) |
Località consentite FQDN Contenitori di archiviazione cloud |
| Registrazione della verifica |
system.access.inbound_network tabella di sistema |
system.access.outbound_network tabella di sistema |
Funzionamento dei criteri basati sul contesto
Con il controllo in ingresso, è possibile:
- Arrestare l'accesso da reti non attendibili richiedendo credenziali valide e un'origine di rete attendibile.
- Consentire gli strumenti di automazione SaaS con indirizzi IP dinamici usando regole basate sull'identità anziché gli elenchi di indirizzi IP consentiti.
- Limitare le operazioni sensibili all'interfaccia utente consentendo al tempo stesso l'accesso all'API più ampio.
- Delimitare i principali di servizio con privilegi elevati ai soli indirizzi IP della rete aziendale.
Con il controllo in uscita, è possibile:
- Impedire l'esfiltrazione di dati limitando le API esterne che possono raggiungere il calcolo serverless.
- Consentire la connettività solo ai bucket di archiviazione cloud approvati e ai database esterni.
- Bloccare le connessioni in uscita a destinazioni non autorizzate, consentendo le integrazioni necessarie.
- Applicare la conformità limitando lo spostamento dei dati alle aree e ai servizi approvati.
| Guida alla configurazione | Descrzione |
|---|---|
| Configurare i criteri di ingresso | Configurare regole di autorizzazione e negazione che combinano identità, origine di rete e tipo di accesso per controllare le richieste in ingresso nell'area di lavoro. |
| Configurare le policy di uscita | Definire le regole di connessione in uscita per controllare quali destinazioni esterne possono raggiungere le risorse di calcolo serverless. |
Modalità di imposizione
I criteri basati sul contesto hanno due diverse modalità di imposizione:
- Modalità di applicazione forzata: le regole vengono applicate attivamente. Le richieste di violazione vengono bloccate.
- Modalità di esecuzione a secco: le violazioni vengono registrate ma non bloccate. Usare questa modalità per testare gli effetti dei criteri prima dell'imposizione.
Databricks consiglia di iniziare con la modalità di esecuzione asciutta per evitare interruzioni impreviste dell'accesso.
Registrazione della verifica
Azure Databricks registra tutte le valutazioni dei criteri per la conformità e il monitoraggio:
- Ingress: registrato nella tabella di sistema
system.access.inbound_network. - Uscita: registrata nella tabella di
system.access.outbound_networksistema.
Eseguire query su questi log per convalidare l'efficacia dei criteri e rilevare tentativi di accesso non autorizzati.
Interazione dei criteri con altri controlli
- Elenchi di accesso IP: sia gli elenchi di accesso IP che i criteri di ingresso basati sul contesto di accesso pubblico devono consentire una richiesta. Se si disabilita l'accesso pubblico nelle impostazioni di accesso privato, il sistema nega tutte le richieste pubbliche indipendentemente dalle regole dei criteri di ingresso.
-
Connettività privata:
databricks_ui_apigli endpoint funzionano insieme ai criteri di ingresso pubblici dell'area di lavoro quando è abilitato l'accesso pubblico. L'ingresso basato sul contesto è l'unica fonte di verità per i criteri di accesso privato a livello di account.
- Profili di sicurezza: i criteri basati sul contesto forniscono controlli a livello di rete che integrano il calcolo e la governance dei dati.
Procedure consigliate
- Iniziare con la modalità di esecuzione secca per convalidare il comportamento dei criteri prima dell'applicazione.
- Usare le regole basate sull'identità per i client SaaS con indirizzi IP dinamici.
- Applicare prima le regole di negazione alle entità servizio con privilegi elevati per limitare il rischio.
- Monitorare regolarmente i log di controllo per rilevare modelli di accesso imprevisti.
- Testare le politiche di uscita per garantire che le risorse esterne necessarie rimangano accessibili.
- Usare nomi di politiche descrittivi per la manutenibilità nel lungo periodo.