Beheerde beveiliging

Beheerde beveiliging is de basisnetwerkarchitectuur. Hiermee implementeert u Azure Databricks in uw eigen VNet, waarbij SCC standaard is ingeschakeld voor klassieke rekenresources. U kunt eventueel klassieke Private Link toevoegen voor privébesturingsvlakconnectiviteit.

Azure Databricks test het platform met jaarlijkse penetratietests van derden en een openbaar bug bounty-programma. Zie het Databricks Beveiligingsaddendum.

Deze configuratie heeft:

• Beveilig standaard: Azure Databricks maakt SCC, versleuteling in transit en geverifieerde werkruimtetoegang standaard mogelijk.
• Optionele privéconnectiviteit voor het control plane: Voeg classic compute plane Private Link toe om klassiek computeverkeer via een privénetwerk naar het control plane van Azure Databricks te routeren. Vereist de Premium-laag van Azure Databricks.
• Door de klant beheerd netwerk: implementeer in uw eigen VNet voor controle over IP-bereiken, routering en beveiligingsgroepen.
• Serverloze rekenkracht: gebruik serverloze SQL-warehouses en serverloze rekenkracht voor notebooks en taken.

Gebruik deze configuratie wanneer:

• Aan de slag met Azure Databricks voor het eerst.
• Niet-gereglementeerde workloads uitvoeren zonder strikte vereisten voor netwerkisolatie.
• De voorkeur aan operationele eenvoud ten opzichte van aangepaste netwerkbesturingselementen.
• Serverloze berekening gebruiken als primaire rekenoptie.

Vereiste onderdelen

Inkomend

Werkruimtetoegang maakt gebruik van standaardidentiteit en verificatie. Voor een extra basislijnbeheer configureert u een beleid voor inkomend verkeer op basis van context om werkruimte- en API-toegang tot de netwerken van uw organisatie te beperken, zoals bedrijfs-VPN's, office-IP-bereiken en identiteiten. Hiermee voegt u diepgaande verdediging toe zonder dat er privéconnectiviteit nodig is.

Zie toegangsbeheer op basis van context.

Uitgaand

Gegevenstoegang wordt beheerd door Unity Catalog. Bekijk Wat is Unity Catalog? Voor een extra basislijnbeheer kunt u eventueel een externe firewall implementeren om klassieke rekenuitgangen te inspecteren.

Externe firewall (optioneel)

Routeer klassieke rekenuitgangen via een externe firewall voor inspectie, logboekregistratie en beleidshandhaving. Vereist in geïsoleerde omgeving; hier optioneel.

Opties zijn Azure Firewall of een virtueel netwerkapparaat (NVA) van derden.

Warning

Azure Databricks besturingsvlak en SCC Relay-verbindingen maken gebruik van TLS met certificaatpinning. Schakel TLS-inspectie (ontsleutelen en opnieuw versleutelen) niet in voor verkeer tussen uw clusters en het Azure Databricks besturingsvlak. Dit veroorzaakt storingen in het cluster. Zie IP-adressen en -domeinen voor Azure Databricks services en assets voor vereiste eindpunten.

Klassieke rekenkracht

Als u klassieke berekeningen gebruikt, past Beheerde beveiliging standaard de volgende besturingselementen toe:

Veilige clusterconnectiviteit

Elimineert openbare IP-adressen op clusterknooppunten. Standaard ingeschakeld zonder extra configuratie vereist.

Zie Beveiligde clusterconnectiviteit inschakelen.

VNet-injectie

Implementeer Azure Databricks in uw eigen virtuele netwerk voor controle over IP-adresbereiken, routering en netwerkbeveiligingsgroepen. Vereist voor klassieke Private Link.

Zie Implementeer Azure Databricks in uw Azure virtuele netwerk (VNet-injectie).

Het volgende besturingselement is optioneel:

Klassieke compute plane Private Link (optioneel)

Biedt privéconnectiviteit tussen uw VNet en het Azure Databricks besturingsvlak. REST API- en SCC-relayverkeer tussen clusters en het besturingsvlak blijven privé in plaats van het openbare internet te gebruiken. Vereist Azure Databricks Premium-laag en is niet standaard ingeschakeld.

Zie Configureer de privéconnectiviteit van het klassieke rekenvlak met Azure Databricks.

Zie Beveiliging en naleving voor niet-netwerkbeveiligingsmechanismen, inclusief versleuteling.

Upgradepaden