Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Zasada ruchu przychodzącego oparta na kontekście na poziomie konta jest w wersji beta.
Oparte na kontekście zasady usługi Azure Databricks zapewniają ujednolicone ramy zabezpieczeń do zarządzania zarówno ruchem przychodzącym, jak i wychodzącym w obszarach roboczych oraz zasobach na poziomie konta (na przykład konsoli konta i usługi Genie na poziomie konta). Zasady obszaru roboczego są konfigurowane w zasadach na poziomie obszaru roboczego z domyślnymi zasadami obszaru roboczego przypisanymi do wszystkich obszarów roboczych bez jawnego przypisania. Zasady na poziomie konta są konfigurowane oddzielnie przy użyciu pojedynczego account-policyelementu .
Dzięki dostępowi przychodzącemu opartemu na kontekście administratorzy mogą ograniczać dostęp na poziomie przestrzeni roboczej i konta na podstawie kombinacji takich czynników jak tożsamość, źródło sieci i typ żądania. Zasady ruchu wychodzącego bezserwerowego rozszerzają tę kontrolę na ruch wychodzący, ograniczając obciążenia bezserwerowe do autoryzowanych miejsc docelowych. Te zasady sieciowe pomagają zapewnić, że zarówno dostęp użytkowników, jak i przenoszenie danych pozostają w granicach zaufanych w organizacji.
Zasady sieciowe oparte na kontekście uzupełniają następujące istniejące funkcje zabezpieczeń:
- Kontrolka ruchu przychodzącego oparta na kontekście:
- Listy dostępu do adresów IP obszaru roboczego
- Listy dostępu do adresów IP konta
- Przychodzący Private Link (z użyciem ustawień dostępu prywatnego)
- Kontrola egresji bezserwerowej
- Wychodzące połączenie Private Link (z użyciem konfiguracji łączności sieciowej)
Korzyści
Zasady sieciowe ruchu przychodzącego oparte na kontekście zapewniają następujące korzyści związane z zabezpieczeniami sieci:
- Zwiększone zabezpieczenia: eliminowanie nieautoryzowanego dostępu i ryzyka eksfiltracji danych.
- Kontrola uwzględniająca tożsamość: Obsługuj klientów SaaS bez stabilnych zakresów adresów IP przy użyciu reguł opartych na tożsamości.
- Elastyczne wymuszanie: stosowanie różnych reguł do różnych typów żądań, źródeł i tożsamości.
- Scentralizowane zarządzanie: skonfiguruj raz na poziomie konta, zastosuj je w wielu obszarach roboczych.
- Bezpieczne testowanie: użyj trybu próbnego, aby przetestować wpływ zasad przed pełnym wymuszaniem.
Porównywane typy zasad
Zasady sieciowe oparte na kontekście obejmują dwa typy: kontrolkę ruchu przychodzącego i kontrolę ruchu wychodzącego. Poniższa tabela zawiera podsumowanie kluczowych różnic:
| Atrybut | Kontrolka ruchu przychodzącego | Kontrola ruchu wychodzącego |
|---|---|---|
| Co kontroluje | Żądania przychodzące do obszaru roboczego Azure Databricks i punktów końcowych na poziomie konta. | Połączenia wychodzące z bezserwerowego środowiska obliczeniowego do zewnętrznych miejsc docelowych. |
| Podstawowy przypadek użycia | Ogranicz, kto może mieć dostęp do obszaru roboczego i zasobów na poziomie konta, skąd może uzyskiwać dostęp oraz do jakich zasobów może mieć dostęp. | Zapobiegaj eksfiltracji danych, kontrolując, z którymi zasobami zewnętrznymi mogą łączyć się zasoby bezserwerowe. |
| Kryteria zasad | Tożsamość (wielu użytkowników lub wielu podmiotów usługi) Źródło sieci (zakres CIDR, zarejestrowane prywatne punkty końcowe) Typ dostępu: dla obszarów roboczych (interfejs użytkownika obszaru roboczego, interfejs API, aplikacje, usługa Lakebase Compute); dla konta (interfejs użytkownika konta, interfejs API konta) |
Dozwolone lokalizacje Pełne nazwy domenowe (FQDN) Kontenery magazynu w chmurze |
| Rejestrowanie inspekcji |
system.access.inbound_network tabela systemowa |
system.access.outbound_network tabela systemowa |
Jak działają zasady oparte na kontekście
Za pomocą kontrolki ruchu przychodzącego można wykonywać następujące czynności:
- Zatrzymaj dostęp z niezaufanych sieci, wymagając zarówno prawidłowych poświadczeń, jak i zaufanego źródła sieci.
- Zezwalaj na narzędzia automatyzacji SaaS z dynamicznymi adresami IP, stosując reguły oparte na tożsamości zamiast list dozwolonych adresów IP.
- Ogranicz wrażliwe operacje wyłącznie do interfejsu użytkownika, zezwalając na szerszy dostęp do interfejsu API.
- Ogranicz jednostki usługi z wysokimi uprawnieniami tylko do zakresów sieci firmowych.
Za pomocą kontrolki ruchu wychodzącego można wykonywać następujące czynności:
- Zapobiegaj eksfiltracji danych, ograniczając dostęp bezserwerowych obliczeń do zewnętrznych interfejsów API.
- Zezwalaj na łączność tylko z zatwierdzonymi zasobnikami magazynu w chmurze i zewnętrznymi bazami danych.
- Blokuj połączenia wychodzące z nieautoryzowanymi miejscami docelowymi, zezwalając na wymagane integracje.
- Wymuszanie zgodności przez ograniczenie przenoszenia danych do zatwierdzonych regionów i usług.
| Przewodnik konfiguracji | Opis |
|---|---|
| Konfigurowanie zasad ruchu przychodzącego | Skonfiguruj reguły zezwalania i odmowy, które łączą tożsamość, źródło sieci i typ dostępu w celu kontrolowania żądań przychodzących do obszaru roboczego. |
| Konfigurowanie polityk ruchu wychodzącego | Zdefiniuj reguły połączeń wychodzących, aby kontrolować, które zewnętrzne miejsca docelowe mogą osiągać zasoby obliczeniowe bezserwerowe. |
Tryby wymuszania
Zasady oparte na kontekście mają dwa różne tryby wymuszania:
- Tryb wymuszony: Reguły są aktywnie stosowane. Żądania naruszające zasady są blokowane.
- Tryb testowy: naruszenia są rejestrowane, ale nie są blokowane. Użyj tego trybu, aby przetestować wpływ zasad przed wymuszaniem.
Usługa Databricks zaleca rozpoczęcie od trybu testowego, aby uniknąć niezamierzonych zakłóceń dostępu.
Rejestrowanie inspekcji
Usługa Azure Databricks rejestruje wszystkie oceny zasad pod kątem zgodności i monitorowania:
- Ingress: Zarejestrowano w tabeli systemowej
system.access.inbound_network. - Ruch wychodzący: zarejestrowano w tabeli systemowej
system.access.outbound_network.
Wykonaj zapytanie dotyczące tych dzienników, aby zweryfikować skuteczność zasad i wykryć nieautoryzowane próby dostępu.
Jak zasady współdziałają z innymi kontrolkami
- Listy dostępu do adresów IP: Zarówno listy dostępu IP, jak i zasady ruchu przychodzącego oparte na kontekście dostępu publicznego muszą zezwalać na dane żądanie. Jeśli wyłączysz dostęp publiczny w ustawieniach dostępu prywatnego, system odrzuca wszystkie żądania publiczne niezależnie od reguł zasad ruchu przychodzącego.
-
Łączność prywatna:
databricks_ui_apipunkty końcowe współdziałają z zasadami publicznego ruchu przychodzącego dla obszaru roboczego, gdy dostęp publiczny jest włączony. Ingress oparty na kontekście jest jedynym wiarygodnym źródłem zasad prywatnego dostępu na poziomie konta.
- Profile zabezpieczeń: zasady oparte na kontekście zapewniają mechanizmy kontroli na poziomie sieci, które uzupełniają zarządzanie obliczeniami i danymi.
Najlepsze rozwiązania
- Rozpocznij od trybu testowego, aby zweryfikować zachowanie zasad przed ich egzekucją.
- Używaj reguł opartych na tożsamościach dla klientów SaaS z dynamicznymi adresami IP.
- Najpierw zastosuj zasady odmowy dla jednostek usługi z wysokimi uprawnieniami, aby ograniczyć ryzyko.
- Regularnie monitoruj dzienniki inspekcji, aby wykrywać nieoczekiwane wzorce dostępu.
- Przetestuj zasady polityki wychodzącej, aby zapewnić dostępność wymaganych zasobów zewnętrznych.
- Użyj opisowych nazw zasad w celu zapewnienia długoterminowej konserwacji.