Пользователи в сети Azure Databricks
В этом руководстве представлены функции настройки сетевого доступа между пользователями и рабочими областями Azure Databricks.
Зачем настраивать сеть пользователей в Azure Databricks?
По умолчанию пользователи и приложения могут подключаться к Azure Databricks с любого IP-адреса. Пользователи могут получить доступ к критически важным источникам данных с помощью Azure Databricks. В случае, если учетные данные пользователя скомпрометируются через фишинг или аналогичную атаку, защита сетевого доступа значительно снижает риск принятия учетной записи. Такие конфигурации, как частные подключения, списки IP-доступа и брандмауэры, помогают обеспечить безопасность критически важных данных.
Вы также можете настроить функции проверки подлинности и управления доступом для защиты учетных данных пользователя, см. статью "Проверка подлинности и управление доступом".
Примечание.
Пользователям в Azure Databricks требуется безопасный сетевой план Premium.
Частное подключение
Между пользователями Azure Databricks и плоскости управления Приватный канал предоставляют строгие элементы управления, ограничивающие источник входящих запросов. Если организация направляет трафик через среду Azure, вы можете использовать Приватный канал для обеспечения связи между пользователями и плоскости управления Databricks не проходит через общедоступные IP-адреса. См. статью "Настройка частного подключения к Azure Databricks".
Список доступа — IP-адреса
Проверка подлинности подтверждает удостоверение пользователя, но не обеспечивает расположение пользователей в сети. Доступ к облачной службе из незащищенной сети представляет угрозу безопасности, особенно если пользователь имеет авторизованный доступ к конфиденциальным или личным данным. С помощью списков IP-доступа можно настроить рабочие области Azure Databricks, чтобы пользователи подключались к службе только через существующие сети с безопасным периметром.
Администратор могут указать IP-адреса, которым разрешен доступ к Azure Databricks. Вы также можете указать IP-адреса или подсети для блокировки. Дополнительные сведения см. в разделе "Управление списками доступа к IP-адресам".
Вы также можете использовать Приватный канал для блокировки всех общедоступных интернет-доступа к рабочей области Azure Databricks.
Правила брандмауэра
Многие организации используют брандмауэр для блокировки трафика на основе доменных имен. Чтобы обеспечить доступ к ресурсам Azure Databricks, необходимо разрешить список доменных имен Azure Databricks. Дополнительные сведения см. в разделе "Настройка правил брандмауэра доменных имен".
Azure Databricks также выполняет проверку заголовка узла как для общедоступных, так и частных подключений, чтобы гарантировать, что запросы исходят из предполагаемого узла. Это защищает от потенциальных атак заголовков узла HTTP.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по