Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
A política de entrada contextual ao nível da conta está em Beta.
As políticas baseadas no contexto do Azure Databricks fornecem uma estrutura de segurança unificada para gerir tanto o tráfego de entrada como de saída para os seus espaços de trabalho e recursos ao nível da conta (por exemplo, a consola da conta e o Genie ao nível da conta). As políticas de espaço de trabalho são configuradas em políticas de nível de espaço de trabalho, com uma política de espaço de trabalho por defeito atribuída a todos os espaços de trabalho sem atribuição explícita. A política ao nível da conta é configurada separadamente usando o único account-policy.
Com a entrada baseada no contexto, os administradores podem restringir o acesso ao espaço de trabalho e ao nível da conta com base numa combinação de identidade, fonte de rede e tipo de pedido. As políticas de saída serverless estendem este controlo ao tráfego de saída, limitando as cargas de trabalho serverless apenas a destinos autorizados. Em conjunto, estas políticas de rede ajudam a garantir que tanto o acesso dos utilizadores como a movimentação de dados permaneçam dentro de limites de confiança em toda a sua organização.
As políticas de rede baseadas no contexto complementam estas características de segurança existentes:
- Controlo de entrada baseado no contexto:
- Listas de acesso IP ao espaço de trabalho
- Listas de acesso a IP de contas
- Inbound Private Link (usando definições de acesso privado)
- Controlo de saída sem servidor:
- Outbound Private Link (usando configurações de conectividade de rede)
Benefícios
As políticas de entrada baseadas no contexto proporcionam os seguintes benefícios à segurança da sua rede:
- Segurança reforçada: Mitigar os riscos de acesso não autorizado e exfiltração de dados.
- Controlo consciente da identidade: Suporta clientes SaaS sem intervalos de IP estáveis usando regras baseadas em identidade.
- Aplicação flexível: Aplicar regras diferentes a diferentes tipos de pedidos, fontes e identidades.
- Gestão centralizada: Configura uma vez ao nível da conta, aplica em vários espaços de trabalho.
- Testes seguros: Utilize o modo de simulação para avaliar o impacto das políticas antes da aplicação integral.
Tipos de apólices comparados
As políticas de rede baseadas no contexto incluem dois tipos: controlo de entrada e controlo de saída. A tabela a seguir resume as principais diferenças:
| Attribute | Controlo de entrada | Controlo de saída |
|---|---|---|
| O que controla | Pedidos recebidos para a área de trabalho do Azure Databricks e pontos finais ao nível da conta. | As ligações de saída de Serverless computam para destinos externos. |
| Caso de uso primário | Restrinja quem pode aceder ao seu espaço de trabalho e aos recursos a nível da conta, a partir de onde e a que podem aceder. | Previna a exfiltração de dados controlando quais os recursos externos a que a computação serverless pode ligar. |
| Critérios de política | Identidade (múltiplos utilizadores ou múltiplas entidades de serviço) Fonte de rede (intervalo CIDR, endpoints privados registados) Tipo de acesso: para espaços de trabalho (Workspace UI, API, Apps, Lakebase Compute); para conta (Account UI, Account API) |
Localizações permitidas FQDNs (Nomes de Domínio Totalmente Qualificados) Contentores de armazenamento na nuvem |
| Registo de auditoria |
system.access.inbound_network Tabela do sistema |
system.access.outbound_network Tabela do sistema |
Como funcionam as políticas baseadas no contexto
Com controlo de acesso, pode:
- Bloqueie o acesso a redes não confiáveis exigindo tanto credenciais válidas como uma fonte de rede de confiança.
- Permitir ferramentas de automação SaaS com IPs dinâmicos usando regras baseadas em identidade em vez de listas de permissões de IP.
- Restringa operações sensíveis à interface de utilizador, permitindo ao mesmo tempo um acesso mais amplo à API.
- Limite as entidades de serviço de alto privilégio apenas aos intervalos da rede corporativa.
Com controlo de saída, pode:
- Prevenir a exfiltração de dados restringindo quais APIs externas o Serverless Compute pode alcançar.
- Permitir conectividade apenas a buckets de armazenamento na cloud aprovados e bases de dados externas.
- Bloqueie ligações de saída para destinos não autorizados, permitindo as integrações necessárias.
- Impor a conformidade limitando a movimentação de dados para regiões e serviços aprovados.
| Guia de configuração | Description |
|---|---|
| Configurar políticas de Ingress | Define regras de permitir e negar que combinem identidade, fonte de rede e tipo de acesso para controlar os pedidos de entrada para o teu espaço de trabalho. |
| Configurar políticas de saída | Defina regras de ligação de saída para controlar quais os destinos externos que os seus recursos de computação serverless podem alcançar. |
Modos de imposição
As políticas baseadas no contexto têm dois modos diferentes de aplicação:
- Modo imposto: As regras são aplicadas ativamente. Pedidos que violam as regras são bloqueados.
- Modo de ensaio a seco: As infrações são registadas mas não bloqueadas. Use este modo para testar os impactos das políticas antes da aplicação.
A Databricks recomenda começar com o modo de teste para evitar interrupções de acesso indesejadas.
Registo de auditoria
O Azure Databricks regista todas as avaliações de políticas para conformidade e monitorização:
- Entrada: Iniciado na
system.access.inbound_networktabela do sistema. - Saída: Registado na tabela do sistema
system.access.outbound_network.
Consulte estes registos para validar a eficácia da política e detetar tentativas de acesso não autorizadas.
Como as políticas interagem com outros controlos
- Listas de acesso IP: Tanto as listas de acesso IP como as políticas de entrada baseadas em contexto de acesso público devem permitir um pedido. Se desativar o acesso público nas suas definições de acesso privado, o sistema recusa todos os pedidos públicos independentemente das regras da política de entrada.
-
Conectividade privada:
databricks_ui_apios endpoints trabalham em conjunto com as políticas de entrada pública do workspace quando o acesso público está habilitado. A entrada baseada no contexto é a única fonte de verdade para as políticas de acesso privado ao nível da conta.
- Perfis de segurança: As políticas baseadas no contexto fornecem controlos ao nível da rede que complementam a computação e a governação de dados.
Melhores práticas
- Comece com o modo de ensaio para validar o comportamento das políticas antes da aplicação.
- Use regras baseadas em identidade para clientes SaaS com endereços IP dinâmicos.
- Aplique primeiro regras de negação aos principais de serviços com privilégios elevados para limitar o risco.
- Monitorize regularmente os registos de auditoria para detetar padrões de acesso inesperados.
- Teste as políticas de saída para garantir que os recursos externos necessários permaneçam acessíveis.
- Use nomes descritivos de apólices para maior manutenção a longo prazo.