マネージド セキュリティは、ベースライン ネットワーク アーキテクチャです。 これは、クラシック コンピューティングで SCC が既定で有効になっている独自の VNet にAzure Databricksをデプロイします。 必要に応じて、プライベート コントロール プレーン接続用のクラシック Private Linkを追加できます。
Note
強化された接続や分離された環境とは異なり、マネージド セキュリティでは Azure Databricks Premium レベルは必要ありません。 オプションのクラシック コンピューティング プレーン Private Linkを有効にするのは、このレベルを必要とする唯一の構成です。
Azure Databricksは、年 1 回のサード パーティの侵入テストと公開バグ報奨金プログラムを使用してプラットフォームをテストします。 Databricks セキュリティ補遺を参照してください。
この構成には、次の内容があります。
- 既定で安全: Azure Databricksでは、SCC、転送中の暗号化、および認証されたワークスペース アクセスが既定で有効になります。
- Optional プライベート コントロール プレーン接続: クラシック コンピューティング プレーン Private Linkを追加して、クラシック コンピューティング トラフィックをプライベート ネットワーク経由で Azure Databricks コントロール プレーンにルーティングします。 Azure Databricks Premium レベルが必要です。
- カスタマー マネージド ネットワーク: 独自の VNet にデプロイして、IP 範囲、ルーティング、セキュリティ グループを制御します。
- サーバーレス コンピューティング: ノートブックとジョブには、サーバーレス SQL ウェアハウスとサーバーレス コンピューティングを使用します。
この構成は、次の場合に使用します。
- 初めてAzure Databricksの使用を開始します。
- 厳密なネットワーク分離要件なしで、規制されていないワークロードを実行する。
- カスタマイズされたネットワーク制御よりも運用の簡素化を優先します。
- プライマリ コンピューティング オプションとしてサーバーレス コンピューティングを使用する。
必要なコンポーネント
Inbound
ワークスペース アクセスでは、標準の ID と認証が使用されます。 追加のベースライン制御については、企業 VPN、オフィス IP 範囲、ID など、組織のネットワークへのワークスペースと API アクセスを制限するコンテキストベースのイングレス ポリシーを構成します。 これにより、プライベート接続を必要とせずに多層防御が追加されます。
コンテキストベースのイングレス制御を参照してください。
送信
データ アクセスは Unity カタログによって管理されます。 「Unity Catalog とは」を参照してください。 追加のベースライン制御のために、必要に応じて外部ファイアウォールをデプロイして、クラシック コンピューティングエグレスを検査できます。
外部ファイアウォール (省略可能)
検査、ログ記録、ポリシー適用のために、外部ファイアウォールを経由してクラシック コンピューティング エグレスをルーティングします。 分離環境では必須です。ここでは任意です。
オプションには、Azure Firewallまたはサード パーティのネットワーク仮想アプライアンス (NVA) が含まれます。
警告
Azure Databricksコントロール プレーンと SCC リレー接続では、証明書のピン留めで TLS が使用されます。 クラスターとAzure Databricks コントロール プレーン間のトラフィックで TLS 検査 (復号化と再暗号化) を有効にしないでください。 これを行うと、クラスターエラーが発生します。 必要なエンドポイントについては、IP アドレスとドメインAzure Databricksサービスと資産を参照してください。
クラシック コンピューティング
クラシック コンピューティングを使用する場合、マネージド セキュリティでは、既定で次のコントロールが適用されます。
セキュリティで保護されたクラスター接続
クラスター ノード上のパブリック IP アドレスを削除します。 既定で有効になっており、追加の構成は必要ありません。
「 セキュリティで保護されたクラスター接続を有効にする」を参照してください。
VNet インジェクション
AZURE DATABRICKSを独自の仮想ネットワークにデプロイして、IP アドレス範囲、ルーティング、ネットワーク セキュリティ グループを制御します。 クラシック Private Linkに必要です。
Azure 仮想ネットワーク (VNet インジェクション) での Azure Databricks のデプロイについては、参照してください。
次のコントロールは省略可能です。
Classic compute plane Private Link (省略可)
VNet と Azure Databricks コントロール プレーンの間にプライベート接続を提供します。 REST API と SCC は、パブリック インターネットを使用する代わりに、クラスターとコントロール プレーン間のトラフィックをプライベートに保ちます。 Premium レベルAzure Databricks必要であり、既定では有効になっていません。
Azure Databricksへのクラシック コンピューティング プレーンのプライベート接続の構成に関するページを参照してください。
暗号化を含むネットワーク以外のセキュリティ制御については、「 セキュリティとコンプライアンス」を参照してください。
アップグレード パス
| アップグレード経路 | アップグレードするタイミング |
|---|---|
| 強化された接続 | IP ベースのワークスペース アクセス制御、サーバーレスエグレス制御、クラウド サービス アクセス用の VPC エンドポイント、またはエグレス検査用のオプションの外部ファイアウォールが必要な場合。 |
| 分離環境 | プライベート ワークスペース アクセス (VPN または受信Private Link経由) と、エンド ツー エンドのネットワーク分離に必要な外部ファイアウォールが必要な場合。 |