Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La sicurezza gestita è l'architettura di rete di base. Distribuisce Azure Databricks nella propria rete virtuale con SCC abilitato per impostazione predefinita nel calcolo classico. Facoltativamente, è possibile aggiungere il collegamento privato classico per la connettività privata al piano di controllo.
Note
A differenza di connettività protetta e ambiente isolato, la sicurezza gestita non richiede il livello Premium di Azure Databricks. L'abilitazione del piano di calcolo classico facoltativo collegamento privato è l'unica configurazione che richiede questo livello.
Azure Databricks sottopone la piattaforma a test di penetrazione annuali condotti da terze parti e a un programma pubblico di bug bounty. Consultare l'Addendum sulla sicurezza di Databricks.
Questa configurazione include:
- Secure by default: Azure Databricks abilita SCC, crittografia in transito e accesso autenticato all'area di lavoro per impostazione predefinita.
- Connettività facoltativa del piano di controllo privato: Aggiungi collegamento privato per il piano di calcolo classico per instradare il traffico di calcolo classico al piano di controllo di Azure Databricks tramite una rete privata. Richiede Azure Databricks livello Premium.
- Rete gestita dal cliente: eseguire la distribuzione nella propria rete virtuale per controllare gli intervalli IP, il routing e i gruppi di sicurezza.
- Calcolo serverless: usare i data warehouse SQL serverless e le risorse di calcolo serverless per notebook e processi.
Usare questa configurazione quando:
- Introduzione alle Azure Databricks per la prima volta.
- Esecuzione di carichi di lavoro non regolamentati senza requisiti rigorosi di isolamento della rete.
- Scelta della semplicità operativa rispetto ai controlli di rete personalizzati.
- Uso del calcolo serverless come opzione di calcolo primaria.
Componenti richiesti
Inbound
L'accesso all'area di lavoro usa l'identità e l'autenticazione standard. Per un ulteriore controllo di riferimento, configura un criterio di accesso in ingresso basato sul contesto per limitare l'accesso al workspace e alle API alle reti della tua organizzazione, come VPN aziendali, intervalli di IP dell'ufficio e identità. In questo modo viene aggiunta una difesa avanzata senza richiedere connettività privata.
Vedere Controllo di ingresso basato sul contesto.
In uscita
L'accesso ai dati è regolato da Unity Catalog. Consulta Che cos'è il Catalogo Unity?. Per un controllo di base aggiuntivo, è possibile distribuire facoltativamente un firewall esterno per esaminare l'uscita di calcolo classica.For an additional baseline control, you can optionally deploy an external firewall to inspect classic compute egress.
Firewall esterno (facoltativo)
Instradare il traffico in uscita del compute classico tramite un firewall esterno per l'ispezione, il logging e l'applicazione delle policy. Obbligatorio nell'ambiente isolato; facoltativo qui.
Le opzioni includono Firewall di Azure o un'appliance virtuale di rete di terze parti.
Avvertimento
Il piano di controllo di Azure Databricks e le connessioni di inoltro SCC utilizzano TLS con il pinning dei certificati. Non abilitare l'ispezione TLS (decrittografare e crittografare nuovamente) sul traffico tra i tuoi cluster e il piano di controllo di Azure Databricks. Così facendo si causano malfunzionamenti del cluster. Per gli endpoint richiesti, vedere indirizzi IP e domini per i servizi e gli asset di Azure Databricks.
Calcolo classico
Se si usa il calcolo classico, la sicurezza gestita applica i controlli seguenti per impostazione predefinita:
Connettività sicura del cluster
Elimina gli indirizzi IP pubblici nei nodi del cluster. Abilitato per impostazione predefinita senza alcuna configurazione aggiuntiva necessaria.
Inserimento nella rete virtuale
Distribuire Azure Databricks nella propria rete virtuale per controllare gli intervalli di indirizzi IP, il routing e i gruppi di sicurezza di rete. Obbligatorio per i collegamento privato classici.
Vedere Implementare Azure Databricks nella rete virtuale di Azure (VNet Injection).
Il controllo seguente è facoltativo:
Piano di calcoloclassico collegamento privato (facoltativo)
Fornisce connettività privata tra la rete virtuale e il piano di controllo Azure Databricks. L'API REST e il traffico di inoltro SCC tra cluster e piano di controllo rimangono privati anziché usare la rete Internet pubblica. Richiede Azure Databricks livello Premium e non è abilitato per impostazione predefinita.
Vedere Configurare la connettività privata del piano di calcolo classico a Azure Databricks.
Per i controlli di sicurezza non di rete, inclusa la crittografia, vedere Sicurezza e conformità.
Percorsi di aggiornamento
| Percorso di aggiornamento | Quando eseguire l'aggiornamento |
|---|---|
| Connettività rafforzata | Se sono necessari controlli di accesso all'area di lavoro basati su IP, controlli in uscita serverless, endpoint VPC per l'accesso al servizio cloud o un firewall esterno facoltativo per l'ispezione in uscita. |
| Ambiente isolato | Se è necessario l'accesso all'area di lavoro privata (tramite VPN o collegamento privato in ingresso) e un firewall esterno necessario per l'isolamento della rete end-to-end. |