Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A segurança gerida é a arquitetura base da rede. Implementa o Azure Databricks no seu próprio VNet com o SCC ativado por defeito no Classic Compute. Pode adicionar, opcionalmente, o Private Link clássico para conectividade privada do plano de controlo.
Note
Ao contrário de Conectividade reforçada e Ambiente isolado, a Segurança gerida não requer o escalão Premium do Azure Databricks. Ativar o plano de cálculo clássico opcional Private Link é a única configuração que requer este nível.
O Azure Databricks testa a plataforma com testes anuais de penetração de terceiros e um programa público de bug bounty. Consulte o Adendo de Segurança do Databricks.
Esta configuração tem:
- Segurança por predefinição: o Azure Databricks ativa o SCC, a encriptação de dados em trânsito e o acesso autenticado ao espaço de trabalho por predefinição.
- Conectividade privada opcional ao plano de controlo: Adicione o Private Link clássico do plano de computação para encaminhar o tráfego de computação clássico para o plano de controlo do Azure Databricks através de uma rede privada. Requer o escalão Premium do Azure Databricks.
- Rede gerida pelo cliente: Implemente no seu próprio VNet para controlo sobre intervalos de IP, encaminhamento e grupos de segurança.
- Processamento sem servidor: Utilize armazéns SQL sem servidor e computação sem servidor para blocos de notas e tarefas.
Use esta configuração quando:
- Estou a começar com o Azure Databricks pela primeira vez.
- Executar cargas de trabalho não reguladas sem requisitos rigorosos de isolamento de rede.
- Preferindo a simplicidade operacional em vez de controlos de rede personalizados.
- Utilizar a computação sem servidor como a principal opção de processamento.
Componentes necessários
Inbound
O acesso ao espaço de trabalho utiliza identidade e autenticação padrão. Para um controlo de base adicional, configure uma política de entrada baseada no contexto para restringir o acesso ao espaço de trabalho e à API às redes da sua organização, como VPNs corporativas, intervalos de IP de escritório e identidades. Isto acrescenta defesa em profundidade sem necessidade de ligação privada.
Consulte Controle de entrada baseado no contexto.
Outbound
O acesso aos dados é regulado pelo Catálogo Unity. Veja O que é o Unity Catalog?. Para um controlo de base adicional, pode, opcionalmente, implementar um firewall externo para inspecionar o tráfego de saída da computação clássica.
Firewall externo (opcional)
Encaminhe o tráfego de saída da computação clássica através de um firewall externo para inspeção, registo e aplicação de políticas. Obrigatório em ambiente isolado; Opcional aqui.
As opções incluem Azure Firewall ou um dispositivo virtual de rede de terceiros (NVA).
Advertência
O plano de controlo do Azure Databricks e as ligações de relé SCC usam TLS com associação de certificados. Não ative a inspeção TLS (desencriptação e reencriptação) no tráfego entre os seus clusters e o plano de controlo do Azure Databricks. Fazer isso provoca falhas no cluster. Consulte Endereços IP e domínios dos serviços e ativos do Azure Databricks para conhecer os pontos finais necessários.
Computação clássica
Se usar computação clássica, a segurança gerida aplica os seguintes controlos por defeito:
Conectividade Segura do Cluster
Elimina endereços IP públicos nos nós do cluster. Ativado por defeito, sem necessidade de configuração adicional.
Injeção de VNet
Implemente o Azure Databricks na sua própria rede virtual para controlo sobre intervalos de endereços IP, roteamento e grupos de segurança de rede. Obrigatório para o Private Link clássico.
Consulte Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet).
O seguinte controlo é opcional:
Plano de cálculo clássico Private Link (opcional)
Fornece conectividade privada entre o seu VNet e o plano de controlo do Azure Databricks. A API REST e o tráfego de retransmissão SCC entre os clusters e o plano de controlo mantêm-se privados, em vez de utilizarem a Internet pública. Requer o nível Premium do Azure Databricks e não está ativado por defeito.
Veja Configurar a conectividade privada do plano de computação clássico ao Azure Databricks.
Para controlos de segurança não relacionados com rede, incluindo encriptação, consulte Segurança e conformidade.
Caminhos de atualização
| Caminho de atualização | Quando atualizar |
|---|---|
| Conectividade reforçada | Se precisar de controlos de acesso à área de trabalho baseados em IP, controlos de saída sem servidor, endpoints de VPC para acesso a serviços na cloud ou uma firewall externa opcional para inspeção de saída. |
| Ambiente isolado | Se necessitar de acesso a um espaço de trabalho privado (via VPN ou Private Link de entrada) e de um firewall externo obrigatório para isolamento de rede de ponta a ponta. |