관리되는 보안

관리되는 보안은 기준 네트워크 아키텍처입니다. 클래식 컴퓨팅에서 기본적으로 SCC가 사용하도록 설정된 고유한 VNet에 Azure Databricks 배포합니다. 필요에 따라 프라이빗 컨트롤 플레인 연결에 대한 클래식 Private Link 추가할 수 있습니다.

메모

분할된 연결이산된 환경 달리 관리되는 보안에는 Azure Databricks 프리미엄 계층이 필요하지 않습니다. 선택적 클래식 컴퓨팅 평면 Private Link 사용하도록 설정하는 것은 이 계층이 필요한 유일한 구성입니다.

Azure Databricks 연간 타사 침투 테스트 및 퍼블릭 버그 현상금 프로그램을 사용하여 플랫폼을 테스트합니다. Databricks 보안 부록을 참조하세요.

이 구성에는 다음이 있습니다.

  • 보안: Azure Databricks 기본적으로 SCC, 전송 중 암호화 및 인증된 작업 영역 액세스를 사용하도록 설정합니다.
  • 선택적 비공개 제어 평면 연결: classic compute plane Private Link를 추가하여 클래식 컴퓨팅 트래픽을 비공개 네트워크를 통해 Azure Databricks 제어 평면으로 라우팅할 수 있습니다. Azure Databricks 프리미엄 계층이 필요합니다.
  • 고객 관리형 네트워크: IP 범위, 라우팅 및 보안 그룹을 제어하기 위해 사용자 고유의 VNet에 배포합니다.
  • 서버리스 컴퓨팅: 서버리스 SQL 웨어하우스와 노트북 및 작업용 서버리스 컴퓨팅을 사용합니다.

다음 경우에 이 구성을 사용합니다.

  • 처음으로 Azure Databricks 시작합니다.
  • 엄격한 네트워크 격리 요구 사항 없이 규제되지 않는 워크로드를 실행합니다.
  • 사용자 지정된 네트워크 컨트롤보다 운영 편의성을 선호합니다.
  • 서버리스 컴퓨팅을 기본 컴퓨팅 옵션으로 사용합니다.

필수 구성 요소

Inbound

작업 영역 액세스는 표준 ID 및 인증을 사용합니다. 추가적인 기본 제어 수단으로, 회사 VPN, 사무실 IP 대역, 사용자 ID 등 조직의 네트워크로부터의 워크스페이스 및 API 액세스만 허용하도록 컨텍스트 기반 인그레스 정책을 구성합니다. 이렇게 하면 프라이빗 연결 없이도 심층 방어가 추가됩니다.

컨텍스트 기반 수신 제어를 참조하세요.

아웃바운드

데이터 액세스는 Unity 카탈로그에 의해 제어됩니다. Unity Catalog란 무엇인가요?. 추가 기준 제어의 경우 필요에 따라 외부 방화벽을 배포하여 클래식 컴퓨팅 송신을 검사할 수 있습니다.

방패 아이콘입니다. 외부 방화벽(선택 사항)

검사, 로깅 및 정책 적용을 위해 외부 방화벽을 통해 클래식 컴퓨팅 송신을 라우팅합니다. 격리된 환경에서 필요합니다. 선택 사항입니다.

옵션에는 Azure Firewall 또는 타사 NVA(네트워크 가상 어플라이언스)가 포함됩니다.

경고

Azure Databricks 컨트롤 플레인 및 SCC 릴레이 연결은 인증서 고정과 함께 TLS를 사용합니다. 클러스터와 Azure Databricks 컨트롤 플레인 간의 트래픽에서 TLS 검사(암호 해독 및 다시 암호화)를 사용하도록 설정하지 마세요. 이렇게 하면 클러스터 오류가 발생합니다. 필수 엔드포인트는 Azure Databricks 서비스 및 자산에 대한 IP 주소 및 도메인을 참조하세요.

클래식 컴퓨팅

클래식 컴퓨팅을 사용하는 경우 관리되는 보안은 기본적으로 다음 컨트롤을 적용합니다.

방패 확인 아이콘입니다. 보안 클러스터 연결

클러스터 노드에서 공용 IP 주소를 제거합니다. 추가 구성 없이 기본적으로 사용하도록 설정됩니다.

보안 클러스터 연결 사용을 참조하세요.

정보 아이콘입니다. VNet 삽입

IP 주소 범위, 라우팅 및 네트워크 보안 그룹을 제어하기 위해 고유한 가상 네트워크에 Azure Databricks 배포합니다. 클래식 Private Link에 필요합니다.

Azure 가상 네트워크에서 Azure Databricks 배포(VNet 삽입)를 참조하세요.

다음 컨트롤은 선택 사항입니다.

Link icon. 클래식 컴퓨팅 플레인 Private Link (선택 사항)

VNet과 Azure Databricks 컨트롤 플레인 간에 프라이빗 연결을 제공합니다. 클러스터와 컨트롤 플레인 간의 REST API 및 SCC 릴레이 트래픽은 공용 인터넷을 사용하는 대신 비공개로 유지됩니다. Azure Databricks 프리미엄 계층이 필요하며 기본적으로 사용하도록 설정되지 않습니다.

Azure Databricks에 대한 클래식 컴퓨팅 플레인 프라이빗 연결 구성을(를) 참조하세요.

암호화를 포함한 비 네트워킹 보안 컨트롤은 보안 및 규정 준수를 참조하세요.

업그레이드 경로

업그레이드 경로 업그레이드 시기
강화된 연결 IP 기반 작업 영역 액세스 제어, 서버리스 송신 컨트롤, 클라우드 서비스 액세스를 위한 VPC 엔드포인트 또는 송신 검사를 위한 선택적 외부 방화벽이 필요한 경우
격리된 환경 프라이빗 작업 영역 액세스(VPN 또는 인바운드 Private Link)와 엔드투엔드 네트워크 격리에 필요한 외부 방화벽이 필요한 경우.
  • Last updated on