通过

用户到 Azure Databricks 网络

  • 项目

本指南介绍了自定义用户与其 Azure Databricks 工作区之间的网络访问的功能。

为什么要自定义用户到 Azure Databricks 的网络?

默认情况下,用户和应用程序可以从任何 IP 地址连接到 Azure Databricks。 用户可以使用 Azure Databricks 访问关键数据源。 如果用户的凭据通过网络钓鱼或类似攻击被泄漏,则保护网络访问可大幅降低帐户接管的风险。 专用连接、IP 访问列表和防火墙等配置有助于保护关键数据的安全。

还可以配置身份验证和访问控制功能来保护用户的凭据,请参阅身份验证和访问控制

注意

用户与 Azure Databricks 的安全网络功能要求具有高级计划

专用连接

在 Azure Databricks 用户与控制平面之间,专用链接提供强控制来限制入站请求的源。 如果组织通过 Azure 环境路由流量,则可以使用专用链接来确保用户与 Databricks 控制平面之间的通信不会遍历公共 IP 地址。 请参阅配置与 Azure Databricks 的专用连接

IP 访问列表

身份验证可证明用户身份,但对用户的网络位置并没有强制要求。 从不安全的网络访问云服务会带来安全风险,尤其是在用户可能已获得授权访问敏感数据或个人数据的情况下。 使用 IP 访问列表,可以配置 Azure Databricks 工作区,以便用户仅通过具有安全外围的现有网络连接到服务。

管理员可以指定允许访问 Azure Databricks 的 IP 地址。 还可以指定要阻止的 IP 地址或子网。 有关详细信息,请参阅管理 IP 访问列表

还可以使用专用链接阻止对 Azure Databricks 工作区的所有公共 Internet 访问。

防火墙规则

许多组织使用防火墙来基于域名阻止流量。 必须将 Azure Databricks 域名加入允许列表,才能确保可以访问 Azure Databricks 资源。 有关详细信息,请参阅配置域名防火墙规则

Azure Databricks 还对公共和专用连接执行主机头验证,以确保请求源自目标主机。 这可以防止潜在的 HTTP 主机头攻击。