Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Databricks-kontextbaserade principer ger ett enhetligt säkerhetsramverk för hantering av både inkommande och utgående trafik till dina arbetsytor. Med kontextbaserad ingress kan administratörer begränsa åtkomsten till arbetsytan baserat på en kombination av identitet, nätverkskälla och begärandetyp. Serverlösa egressprinciper utökar den här kontrollen till utgående trafik genom att begränsa serverlösa arbetsbelastningar till auktoriserade mål. Tillsammans hjälper dessa nätverksprinciper till att säkerställa att både användaråtkomst och dataflytt förblir inom betrodda gränser i organisationen.
Kontextbaserade nätverksprinciper kompletterar dessa befintliga säkerhetsfunktioner:
- Kontextbaserad ingresskontroll:
- IP-åtkomstlistor för arbetsyta
- Konto-IP-åtkomstlistor
- Inkommande privat länk
- Utgående privat länk
- Serverlös utgående kontroll:
- Nätverksanslutningskonfigurationer (NCC)
Fördelar
Kontextbaserade principer för inkommande nätverk ger följande fördelar för nätverkssäkerheten:
- Förbättrad säkerhet: Minska risken för obehörig åtkomst och dataexfiltrering.
- Identitetsmedveten kontroll: Stöd för SaaS-klienter utan stabila IP-intervall med hjälp av identitetsbaserade regler.
- Flexibel tillämpning: Tillämpa olika regler på olika typer av begäranden, källor och identiteter.
- Centraliserad hantering: Konfigurera en gång på kontonivå, tillämpa på flera arbetsytor.
- Säker testning: Använd torrt körningsläge för att testa princippåverkan före fullständig tillämpning.
Jämförelse av principtyper
Kontextbaserade nätverksprinciper innehåller två typer: ingångskontroll och utgående kontroll. I följande tabell sammanfattas de viktigaste skillnaderna:
| Attribute | Ingångskontroll | Utgående kontroll |
|---|---|---|
| Vad den styr | Inkommande begäranden till Azure Databricks-arbetsyteslutpunkter. | Utgående anslutningar från serverlös beräkning till externa destinationer. |
| Primärt användningsfall | Begränsa vem som kan komma åt din arbetsyta, varifrån och vad de kan nå. | Förhindra dataexfiltrering genom att styra vilka externa resurser Serverlös beräkning som kan anslutas till. |
| Principvillkor | Identitet (flera användare eller flera tjänstens huvudnamn) Nätverkskälla (CIDR-intervall) Åtkomsttyp (Arbetsytegränssnitt, API, Appar, Lakebase Compute) |
Tillåtna platser FQDN Molnlagringscontainrar |
| Granskningsloggning |
system.access.inbound_network systemtabell |
system.access.outbound_network systemtabell |
Så här fungerar kontextbaserade principer
Med ingångskontroll kan du:
- Stoppa åtkomsten från ej betrodda nätverk genom att kräva både giltiga autentiseringsuppgifter och en betrodd nätverkskälla.
- Tillåt SaaS-automatiseringsverktyg med dynamiska IP-adresser med hjälp av identitetsbaserade regler i stället för IP-tillåtna listor.
- Begränsa känsliga åtgärder till arbetsytans användargränssnitt samtidigt som bredare API-åtkomst tillåts.
- Begränsa tjänstprincipaler med hög behörighet till endast intervallet för företagsnätverk.
Med utgående kontroll kan du:
- Förhindra dataexfiltrering genom att begränsa vilka externa API:er serverlös beräkning kan nå.
- Tillåt endast anslutning till godkända molnlagrings bucketar och externa databaser.
- Blockera utgående anslutningar till obehöriga mål samtidigt som nödvändiga integreringar tillåts.
- Framtvinga efterlevnad genom att begränsa dataflytten till godkända regioner och tjänster.
| Konfigurationsguide | Description |
|---|---|
| Konfigurera nätverksåtkomstprinciper | Konfigurera tillåt och neka regler som kombinerar identitet, nätverkskälla och åtkomsttyp för att styra inkommande begäranden till din arbetsyta. |
| Konfigurera utgående principer | Definiera regler för utgående anslutning för att styra vilka externa mål som dina serverlösa beräkningsresurser kan nå. |
Verkställningslägen
Kontextbaserade principer har två olika tillämpningssätt:
- Framtvingat läge: Regler tillämpas aktivt. Begäranden som bryter mot regler blockeras.
- Läge för torr körning: Överträdelser loggas men blockeras inte. Använd det här läget om du vill testa princippåverkan innan du tillämpar den.
Databricks rekommenderar att du börjar med torrt körningsläge för att undvika oönskade åtkomststörningar.
Granskningsloggning
Azure Databricks loggar alla principutvärderingar för efterlevnad och övervakning:
-
Ingress: Loggad i systemtabellen
system.access.inbound_network. -
Utträde: Loggad i
system.access.outbound_networksystemtabellen.
Fråga dessa loggar för att verifiera principens effektivitet och identifiera obehöriga åtkomstförsök.
Hur principer interagerar med andra kontroller
- IP-åtkomstlistor: Både IP-åtkomstlistor och ingressprinciper måste tillåta en begäran. Om du inaktiverar offentlig åtkomst i inställningarna för privat åtkomst nekar systemet alla offentliga begäranden oavsett ingressprincipregler.
- Privat anslutning: Fungerar tillsammans med ingressprinciper när offentlig åtkomst är aktiverad.
- Säkerhetsprofiler: Kontextbaserade principer tillhandahåller kontroller på nätverksnivå som kompletterar beräknings- och datastyrning.
Bästa praxis
- Börja med torrt körningsläge för att verifiera principbeteendet innan du tillämpar det.
- Använd identitetsbaserade regler för SaaS-klienter med dynamiska IP-adresser.
- Använd neka-regler för tjänstens huvudnamn med hög behörighet först för att begränsa risken.
- Övervaka granskningsloggar regelbundet för att identifiera oväntade åtkomstmönster.
- Testa utgående principer för att säkerställa att nödvändiga externa resurser förblir tillgängliga.
- Använd beskrivande principnamn för långsiktig underhållbarhet.