Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A segurança gerenciada é a arquitetura de rede de linha de base. Ele implanta Azure Databricks em sua própria VNet com o SCC habilitado por padrão na computação clássica. Você pode, opcionalmente, adicionar o Link Privado clássico para conectividade privada do plano de controle.
Note
Ao contrário da conectividade reforçada e do ambiente isolado, a segurança gerenciada não requer a camada Premium do Azure Databricks. Habilitar o plano de computação clássico opcional Link Privado é a única configuração que requer essa camada.
Azure Databricks testa a plataforma com testes anuais de penetração de terceiros e um programa público de recompensa por bugs. Consulte o Adendo de Segurança do Databricks.
Essa configuração tem:
- Seguro por padrão: o Azure Databricks habilita o SCC, a criptografia em trânsito e o acesso autenticado ao espaço de trabalho por padrão.
- Conectividade privada opcional do plano de controle: Adicione o Link Privado do plano de computação clássico para rotear o tráfego de computação clássica para o plano de controle do Azure Databricks por uma rede privada. Requer o Azure Databricks na camada Premium.
- Rede gerenciada pelo cliente: implante em sua própria VNet para controle sobre intervalos de IP, roteamento e grupos de segurança.
- Computação sem servidor: use sql warehouses sem servidor e computação sem servidor para notebooks e trabalhos.
Use esta configuração quando:
- Introdução ao Azure Databricks pela primeira vez.
- Executando cargas de trabalho não regulamentadas sem requisitos estritos de isolamento de rede.
- Preferir simplicidade operacional em vez de controles de rede personalizados.
- Usando a computação sem servidor como a opção de computação primária.
Componentes necessários
Inbound
O acesso ao workspace usa a identidade padrão e a autenticação. Para um controle de linha de base adicional, configure uma política de entrada baseada em contexto para restringir o workspace e o acesso à API às redes da sua organização, como VPNs corporativas, intervalos de IP do escritório e identidades. Isso adiciona a defesa detalhada sem a necessidade de conectividade privada.
Consulte o controle de entrada baseado em contexto.
Saída
O acesso a dados é regido pelo Catálogo do Unity. Veja O que é o Catálogo do Unity?. Para um controle de linha de base adicional, você pode implantar opcionalmente um firewall externo para inspecionar a saída de computação clássica.
Firewall externo (opcional)
Direcione o tráfego de saída da computação clássica por meio de um firewall externo para inspeção, registro e aplicação de políticas. Necessário no ambiente isolado; opcional aqui.
As opções incluem Firewall do Azure ou uma NVA (solução de virtualização de rede) de terceiros.
Warning
O plano de controle do Azure Databricks e as conexões de retransmissão SCC usam TLS com fixação de certificado. Não habilite a inspeção do TLS (descriptografar e criptografar novamente) no tráfego entre seus clusters e o plano de controle Azure Databricks. Fazer isso causa falhas no cluster. Consulte endereços IP e domínios para serviços e ativos do Azure Databricks para os pontos de extremidade necessários.
Computação clássica
Se você usar a computação clássica, a segurança gerenciada aplicará os seguintes controles por padrão:
Conectividade de cluster segura
Elimina endereços IP públicos em nós de cluster. Habilitado por padrão sem nenhuma configuração adicional necessária.
Injeção de VNet
Implante Azure Databricks em sua própria rede virtual para controle sobre intervalos de endereços IP, roteamento e grupos de segurança de rede. Necessário para o Link Privado clássico.
Consulte Implantar o Azure Databricks na sua rede virtual do Azure (injeção de VNet).
O seguinte controle é opcional:
Plano de computação clássico Link Privado (opcional)
Fornece conectividade privada entre sua VNet e o plano de controle Azure Databricks. A API REST e o tráfego de retransmissão de SCC entre clusters e o plano de controle permanecem privados em vez de usar a Internet pública. Requer Azure Databricks camada Premium e não está habilitado por padrão.
Consulte Configure a conectividade privada do plano de computação clássico para o Azure Databricks.
Para controles de segurança que não são de rede, incluindo criptografia, consulte Segurança e conformidade.
Caminhos de atualização
| Caminho de atualização | Quando atualizar |
|---|---|
| Conectividade protegida | Se você precisar de controles de acesso ao espaço de trabalho baseados em IP, controles de saída para arquiteturas sem servidor, endpoints de VPC para acesso a serviços em nuvem ou de um firewall externo opcional para inspeção de saída. |
| Ambiente isolado | Se você precisar de acesso ao workspace privado (via VPN ou Link Privado de entrada) e de um firewall externo obrigatório para isolamento de rede de ponta a ponta. |