Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As políticas baseadas em contexto do Azure Databricks fornecem uma estrutura de segurança unificada para gerenciar o tráfego de entrada e de saída para seus workspaces. Com a entrada baseada em contexto, os administradores podem restringir o acesso ao workspace com base em uma combinação de identidade, fonte de rede e tipo de solicitação. As políticas de saída sem servidor estendem esse controle ao tráfego de saída limitando cargas de trabalho sem servidor a destinos autorizados. Juntas, essas políticas de rede ajudam a garantir que o acesso do usuário e a movimentação de dados permaneçam dentro dos limites confiáveis em toda a sua organização.
As políticas de rede baseadas em contexto complementam esses recursos de segurança existentes:
- Controle de entrada baseado em contexto:
- Listas de acesso a IP do ambiente de trabalho
- Listas de acesso a IP da conta
- Link privado de entrada
- Link privado de saída
- Controle de saída sem servidor:
- Configurações de conectividade de rede (NCCs)
Benefícios
As políticas de rede de entrada baseadas em contexto fornecem os seguintes benefícios para a segurança de rede:
- Segurança aprimorada: reduza o acesso não autorizado e os riscos de exfiltração de dados.
- Controle com reconhecimento de identidade: dê suporte a clientes SaaS sem intervalos de IP estáveis usando regras baseadas em identidade.
- Imposição flexível: aplique regras diferentes a diferentes tipos de solicitação, fontes e identidades.
- Gerenciamento centralizado: configure uma vez no nível da conta, aplique em vários espaços de trabalho.
- Teste seguro: use o modo de execução seca para testar os impactos da política antes da imposição completa.
Tipos de política comparados
As políticas de rede baseadas em contexto incluem dois tipos: controle de entrada e controle de saída. A tabela a seguir resume as principais diferenças:
| Attribute | Controle de entrada | Controle de saída |
|---|---|---|
| O que controla | Solicitações de entrada para pontos de extremidade do workspace do Azure Databricks. | Conexões de saída da computação sem servidor para destinos externos. |
| Caso de uso primário | Controle quem pode acessar o seu espaço de trabalho, de onde e o que podem acessar. | Evite a exfiltração de dados controlando a quais recursos externos a computação sem servidor pode se conectar. |
| Critérios de política | Identidade (vários usuários ou várias entidades de serviço) Fonte de rede (intervalo CIDR) Tipo de acesso (Interface de Usuário do Workspace, API, Aplicativos, Computação Lakebase) |
Locais permitidos FQDNs Contêineres de armazenamento em nuvem |
| Log de auditoria |
system.access.inbound_network tabela do sistema |
system.access.outbound_network tabela do sistema |
Como funcionam as políticas baseadas em contexto
Com o controle de entrada, você pode:
- Interrompa o acesso de redes não confiáveis exigindo credenciais válidas e uma fonte de rede confiável.
- Permitir ferramentas de automação SaaS com IPs dinâmicos usando regras baseadas em identidade em vez de listas de permissões de IP.
- Restrinja operações confidenciais à interface do usuário do espaço de trabalho, permitindo um acesso mais extensivo à API.
- Limite apenas entidades de serviço de alto privilégio a intervalos de rede corporativos.
Com o controle de saída, você pode:
- Evite a exfiltração de dados restringindo quais APIs externas a computação sem servidor pode alcançar.
- Permitir conectividade apenas para buckets de armazenamento em nuvem aprovados e bancos de dados externos.
- Bloqueie conexões de saída para destinos não autorizados, permitindo integrações necessárias.
- Imponha a conformidade limitando a movimentação de dados a regiões e serviços aprovados.
| Guia de configuração | DESCRIÇÃO |
|---|---|
| Configurar políticas de entrada | Configure regras de permissão e negação que combinem identidade, origem de rede e tipo de acesso para controlar solicitações de entrada para seu workspace. |
| Configurar políticas de saída | Defina regras de conexão de saída para controlar quais destinos externos seus recursos de computação sem servidor podem alcançar. |
Modos de imposição
As políticas baseadas em contexto têm dois modos diferentes de imposição:
- Modo imposto: as regras são aplicadas ativamente. Solicitações que violam regras são bloqueadas.
- Modo de execução seca: as violações são registradas, mas não bloqueadas. Use esse modo para testar os impactos da política antes da imposição.
O Databricks recomenda começar com o modo de execução seca para evitar interrupções de acesso não intencionais.
Log de auditoria
O Azure Databricks registra todas as avaliações de política para conformidade e monitoramento:
-
Entrada: Registrado na tabela do
system.access.inbound_networksistema. -
Saída: registrado na tabela do
system.access.outbound_networksistema.
Consulte esses logs para validar a eficácia da política e detectar tentativas de acesso não autorizadas.
Como as políticas interagem com outros controles
- Listas de acesso ip: as listas de acesso ip e as políticas de entrada devem permitir uma solicitação. Se você desabilitar o acesso público em suas configurações de acesso privado, o sistema negará todas as solicitações públicas, independentemente das regras de política de entrada.
- Conectividade privada: funciona junto com políticas de entrada quando o acesso público está habilitado.
- Perfis de segurança: as políticas baseadas em contexto fornecem controles de nível de rede que complementam a computação e a governança de dados.
Práticas recomendadas
- Comece com o modo de execução seca para validar o comportamento da política antes da imposição.
- Use regras baseadas em identidade para clientes SaaS com endereços IP dinâmicos.
- Aplique regras de negação às entidades de serviço de alto privilégio primeiro para limitar o risco.
- Monitore os logs de auditoria regularmente para detectar padrões de acesso inesperados.
- Teste as políticas de saída para garantir que os recursos externos necessários permaneçam acessíveis.
- Use nomes de política descritivos para manter a manutenção a longo prazo.