使用者到 Azure Databricks 網路
本指南介紹自定義使用者與其 Azure Databricks 工作區之間的網路存取功能。
為何要從使用者自定義網路到 Azure Databricks?
根據預設,用戶和應用程式可以從任何IP位址連線到 Azure Databricks。 使用者可能會使用 Azure Databricks 存取重要的數據源。 如果使用者的認證透過網路釣魚或類似的攻擊而遭到入侵,保護網路存取可大幅降低帳戶接管的風險。 私人連線、IP 存取清單和防火牆等設定有助於保護您的重要數據。
您也可以設定驗證和存取控制功能來保護使用者的認證,請參閱 驗證和存取控制。
注意
Azure Databricks 安全網路功能的使用者需要 進階版 方案。
私人連線能力
在 Azure Databricks 使用者與控制平面之間,Private Link 提供強式控件來限制輸入要求的來源。 如果您的組織透過 Azure 環境路由傳送流量,您可以使用 Private Link 來確保使用者與 Databricks 控制平面之間的通訊不會周遊公用 IP 位址。 請參閱 設定 Azure Databricks 的私人連線。
IP 存取清單
驗證會證明使用者身分識別,但不會強制執行用戶的網路位置。 從不安全的網路存取雲端服務會造成安全性風險,特別是當使用者可能具有機密或個人資料的授權存取權時。 使用IP存取清單,您可以設定 Azure Databricks 工作區,讓使用者只能透過具有安全周邊的現有網路連線到服務。
管理員 可以指定允許存取 Azure Databricks 的 IP 位址。 您也可以指定要封鎖的IP位址或子網。 如需詳細資訊,請參閱 管理IP存取清單。
您也可以使用 Private Link 來封鎖 Azure Databricks 工作區的所有公用因特網存取。
防火牆規則
許多組織會使用防火牆來封鎖以域名為基礎的流量。 您必須允許列出 Azure Databricks 功能變數名稱,以確保存取 Azure Databricks 資源。 如需詳細資訊,請參閱 設定功能變數名稱防火牆規則。
Azure Databricks 也會針對公用和私人連線執行主機標頭驗證,以確保要求源自預期的主機。 這可防止潛在的 HTTP 主機標頭攻擊。