Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwaltete Sicherheit ist die grundlegende Netzwerkarchitektur. Es stellt Azure Databricks in Ihrem eigenen VNet bereit, wobei SCC standardmäßig auf der klassischen Berechnung aktiviert ist. Sie können optional den klassischen Private Link für eine private Konnektivität zur Steuerungsebene hinzufügen.
Note
Im Gegensatz zu Hardened connectivity und Isolated environment erfordert verwaltete Sicherheit keine Azure Databricks Premium-Stufe. Das Aktivieren der optionalen klassischen Computeebene Private Link ist die einzige Konfiguration, die diese Ebene erfordert.
Azure Databricks testet die Plattform mit jährlichen Penetrationstests von Drittanbietern und einem öffentlichen Programm für Bug-Bounty. Siehe " Databricks Security Addendum".
Diese Konfiguration hat:
- Standardmäßig sicher: Azure Databricks aktiviert standardmäßig SCC, Verschlüsselung bei der Übertragung und authentifizierten Zugriff auf den Arbeitsbereich.
- Optionale private Konnektivität zur Steuerungsebene: Fügen Sie Private Link für die klassische Computeebene hinzu, um den Datenverkehr der klassischen Computeebene über ein privates Netzwerk an die Azure Databricks-Steuerungsebene weiterzuleiten. Erfordert Azure Databricks Premium-Stufe.
- Vom Kunden verwaltetes Netzwerk: Bereitstellen in Ihrem eigenen VNet zur Kontrolle über IP-Bereiche, Routing und Sicherheitsgruppen.
- Serverlose Berechnung: Verwenden Sie serverlose SQL-Lagerhäuser und serverlose Berechnung für Notizbücher und Aufträge.
Verwenden Sie diese Konfiguration in folgenden Fällen:
- Erste Schritte mit Azure Databricks
- Ausführen nicht regulierter Workloads ohne strenge Netzwerkisolationsanforderungen.
- Operative Einfachheit gegenüber maßgeschneiderten Netzwerkkontrollen bevorzugen.
- Verwenden der serverlosen Berechnung als primäre Berechnungsoption.
Erforderliche Komponenten
Inbound
Der Arbeitsbereichszugriff verwendet standardmäßige Identität und Authentifizierung. Konfigurieren Sie für ein zusätzliches Basisplansteuerelement eine kontextbasierte Eingangsrichtlinie, um den Arbeitsbereich- und API-Zugriff auf die Netzwerke Ihrer Organisation einzuschränken, z. B. VPNs des Unternehmens, Office-IP-Bereiche und -Identitäten. Dadurch wird eine tiefe Verteidigung hinzugefügt, ohne dass eine private Verbindung erforderlich ist.
Siehe kontextbasierte Zugriffskontrolle.
Ausgehend
Der Datenzugriff unterliegt dem Unity-Katalog. Siehe Was ist Unity Catalog?. Für eine zusätzliche grundlegende Kontrollmaßnahme können Sie optional eine externe Firewall einsetzen, um den ausgehenden Datenverkehr klassischer Compute-Ressourcen zu überprüfen.
Externe Firewall (optional)
Leiten Sie den Egress-Datenverkehr von Classic Compute über eine externe Firewall, um Inspektion, Protokollierung und die Durchsetzung von Richtlinien zu ermöglichen. Erforderlich in isolierter Umgebung; optional hier.
Zu den Optionen gehören Azure Firewall oder eine virtuelle Drittanbieter-Appliance (Network Virtual Appliance, NVA).
Warning
Azure Databricks Steuerebene und SCC-Relayverbindungen verwenden TLS mit Zertifikat-Pinning. Aktivieren Sie die TLS-Inspektion (entschlüsseln und erneut verschlüsseln) nicht für den Datenverkehr zwischen Ihren Clustern und der Azure Databricks Kontrollebene. Dies führt zu Clusterfehlern. Siehe IP-Adressen und Domänen für Azure Databricks Dienste und Ressourcen für erforderliche Endpunkte.
Klassisches Rechnen
Wenn Sie klassische Recheninstanzen verwenden, wendet Verwaltete Sicherheit standardmäßig die folgenden Sicherheitskontrollen an:
Sichere Clusterkonnektivität
Entfernt öffentliche IP-Adressen auf Clusterknoten. Standardmäßig aktiviert, ohne dass zusätzliche Konfiguration erforderlich ist.
VNet-Injektion
Stellen Sie Azure Databricks in Ihrem eigenen virtuellen Netzwerk bereit, um die Kontrolle über IP-Adressbereiche, Routing und Netzwerksicherheitsgruppen zu erhalten. Erforderlich für klassische Private Link.
Weitere Informationen finden Sie unter Bereitstellen von Azure Databricks in Ihrem virtuellen Azure-Netzwerk (VNet-Injektion).
Das folgende Steuerelement ist optional:
Klassische Compute-Ebene Private Link (optional)
Stellt eine private Konnektivität zwischen Ihrem VNet und der Azure Databricks Steuerebene bereit. REST-API und SCC-Relaydatenverkehr zwischen Clustern und der Kontrollebene bleiben privat, anstatt das öffentliche Internet zu verwenden. Erfordert Azure Databricks Premium-Stufe und ist standardmäßig nicht aktiviert.
Siehe Konfigurieren der privaten Konnektivität der klassischen Compute-Ebene für Azure Databricks.
Informationen zu Nicht-Netzwerksicherheitskontrollen, einschließlich Verschlüsselung, finden Sie unter "Sicherheit und Compliance".
Upgradepfade
| Upgradepfad | Wann soll ein Upgrade durchgeführt werden? |
|---|---|
| Gehärtete Konnektivität | Wenn Sie IP-basierte Zugriffskontrollen für Arbeitsbereiche, serverlose Egress-Kontrollen, VPC-Endpunkte für den Zugriff auf Cloud-Dienste oder eine optionale externe Firewall für die Überprüfung des ausgehenden Datenverkehrs benötigen. |
| Isolierte Umgebung | Wenn Sie Zugriff auf einen privaten Arbeitsbereich (über VPN oder eingehenden Private Link) benötigen und eine externe Firewall für die End-to-End-Netzwerkisolierung erforderlich ist. |