Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Databricks-beleid op basis van context biedt een geïntegreerd beveiligingsframework voor het beheren van zowel inkomend als uitgaand verkeer naar uw werkruimten. Met inkomend verkeer op basis van context kunnen beheerders de toegang tot de werkruimte beperken op basis van een combinatie van identiteit, netwerkbron en aanvraagtype. Serverloos uitgaand beleid breidt dit besturingselement uit naar uitgaand verkeer door serverloze workloads te beperken tot geautoriseerde bestemmingen. Samen helpen deze netwerkbeleidsregels ervoor te zorgen dat zowel gebruikerstoegang als gegevensverplaatsing binnen vertrouwde grenzen binnen uw organisatie blijven.
Netwerkbeleid op basis van context vormt een aanvulling op deze bestaande beveiligingsfuncties:
- Context-gebaseerde toegangscontrole:
- IP-toegangslijsten voor werkruimten
- Account-IP-toegangslijsten
- Privékoppeling voor inkomend verkeer
- Uitgaande privékoppeling
- Serverloos uitgaand verkeerbeheer
- Netwerkconnectiviteitsconfiguraties (NCC's)
Voordelen
Op context gebaseerd netwerkbeleid voor inkomend verkeer biedt de volgende voordelen voor uw netwerkbeveiliging:
- Verbeterde beveiliging: beperk onbevoegde toegang en risico's voor gegevensexfiltratie.
- Identiteitsbewust beheer: Ondersteuning voor SaaS-clients zonder stabiele IP-bereiken met behulp van op identiteit gebaseerde regels.
- Flexibele afdwinging: verschillende regels toepassen op verschillende aanvraagtypen, bronnen en identiteiten.
- Gecentraliseerd beheer: configureer eenmaal op accountniveau en pas deze toe op meerdere werkruimten.
- Veilig testen: gebruik de modus voor droge uitvoering om beleidsimpact te testen voordat het volledig wordt afgedwongen.
Beleidstypen vergeleken
Netwerkbeleid op basis van context omvat twee typen: toegangscontrole en uitgaande controle. De volgende tabel bevat een overzicht van de belangrijkste verschillen:
| Attribute | Ingangscontrole | Uitgaand verkeercontrole |
|---|---|---|
| Wat het bestuurt | Binnenkomende aanvragen voor Azure Databricks-werkruimte-eindpunten. | Uitgaande verbindingen van serverloze berekening naar externe bestemmingen. |
| Primaire gebruikssituatie | Beperk wie toegang heeft tot uw werkruimte, waar en wat ze kunnen bereiken. | Voorkom gegevensexfiltratie door te bepalen met welke externe resources serverloze compute verbinding kan maken. |
| Beleidscriteria | Identiteit (meerdere gebruikers of meerdere service-principals) Netwerkbron (CIDR-bereik) Toegangstype (werkruimtegebruikersinterface, API, apps, Lakebase Compute) |
Toegestane locaties FQDN's Cloudopslagcontainers |
| Auditlogboek bijhouden |
system.access.inbound_network systeemtabel |
system.access.outbound_network systeemtabel |
Hoe beleid op basis van context werkt
Met toegangsbeheer kunt u het volgende doen:
- Stop de toegang vanaf niet-vertrouwde netwerken door zowel geldige referenties als een vertrouwde netwerkbron te vereisen.
- SaaS-automatiseringsprogramma's met dynamische IP-adressen toestaan met behulp van op identiteit gebaseerde regels in plaats van IP-acceptatielijsten.
- Beperk gevoelige bewerkingen naar de gebruikersinterface van de werkruimte terwijl u bredere API-toegang toestaat.
- Beperk service-principals met hoge bevoegdheden alleen tot bedrijfsnetwerkbereiken.
Met uitgaande toegangscontrole kunt u het volgende doen:
- Voorkom gegevensexfiltratie door te beperken welke externe API's serverloze berekeningen kunnen bereiken.
- Sta alleen connectiviteit toe naar goedgekeurde cloudopslagbuckets en externe databases.
- Blokkeer uitgaande verbindingen met niet-geautoriseerde bestemmingen terwijl vereiste integraties zijn toegestaan.
- Naleving afdwingen door het verplaatsen van gegevens naar goedgekeurde regio's en services te beperken.
| Configuratiehandleiding | Description |
|---|---|
| Beleid voor inkomend verkeer configureren | Stel regels voor toestaan en weigeren in die identiteit, netwerkbron en toegangstype combineren om binnenkomende aanvragen naar uw werkruimte te beheren. |
| Uitgaand beleid configureren | Definieer regels voor uitgaande verbindingen om te bepalen welke externe bestemmingen uw serverloze rekenresources kunnen bereiken. |
Handhavingsmodi
Beleidsregels op basis van context hebben twee verschillende afdwingingsmodi:
- Afgedwongen modus: regels worden actief toegepast. Overtredende aanvragen worden geblokkeerd.
- Modus voor droge uitvoering: schendingen worden vastgelegd maar niet geblokkeerd. Gebruik deze modus om beleidsimpact te testen voordat u afdwingt.
Databricks raadt aan om te beginnen met de modus voor droge uitvoering om onbedoelde toegangsonderbrekingen te voorkomen.
Auditlogboek bijhouden
Azure Databricks registreert alle beleidsevaluaties voor naleving en bewaking:
-
Inkomend verkeer: geregistreerd in de
system.access.inbound_networksysteemtabel. -
Uitgaand verkeer: geregistreerd in de
system.access.outbound_networksysteemtabel.
Voer een query uit op deze logboeken om de effectiviteit van het beleid te valideren en onbevoegde toegangspogingen te detecteren.
Hoe beleid communiceert met andere besturingselementen
- IP-toegangslijsten: zowel IP-toegangslijsten als toegangsbeleid voor inkomend verkeer moet een aanvraag toestaan. Als u openbare toegang uitschakelt in uw instellingen voor persoonlijke toegang, weigert het systeem alle openbare aanvragen, ongeacht de beleidsregels voor inkomend verkeer.
- Privéconnectiviteit: Werkt samen met invoeringsbeleid wanneer openbare toegang is ingeschakeld.
- Beveiligingsprofielen: op context gebaseerde beleidsregels bieden besturingselementen op netwerkniveau die een aanvulling vormen op reken- en gegevensbeheer.
Goede praktijken
- Begin met de modus voor droge uitvoering om het gedrag van het beleid te valideren voordat u afdwingt.
- Gebruik op identiteit gebaseerde regels voor SaaS-clients met dynamische IP-adressen.
- Pas eerst weigeringsregels toe op service-principals met hoge bevoegdheden om risico's te beperken.
- Controleer regelmatig auditlogboeken om onverwachte toegangspatronen te detecteren.
- Test uitgaande beleidsregels om ervoor te zorgen dat de vereiste externe bronnen toegankelijk blijven.
- Gebruik beschrijvende beleidsnamen voor onderhoud op lange termijn.