Azure Databricks 基于上下文的策略提供统一的安全框架,用于管理发到工作区的入站和出站流量。 使用基于上下文的入口,管理员可以根据标识、网络源和请求类型的组合来限制工作区访问。 无服务器出口策略通过将无服务器工作负荷限制为授权目标,将此控制扩展到出站流量。 这些网络策略一起有助于确保用户访问和数据移动都保留在组织中的受信任边界内。
基于上下文的网络策略补充了以下现有安全功能:
- 基于上下文的入口控件:
- 工作区 IP 访问列表
- 帐户 IP 访问列表
- 入站专用链接
- 出站私有链接
- 无服务器出口控件:
- 网络连接配置(NCC)
优点
基于上下文的入口网络策略为网络安全提供以下优势:
- 增强安全性:缓解未经授权的访问和数据外泄风险。
- 标识感知控制:使用基于标识的规则支持没有稳定的 IP 范围的 SaaS 客户端。
- 灵活的强制实施:将不同的规则应用于不同的请求类型、源和标识。
- 集中管理:在帐户级别配置一次,应用于多个工作区。
- 安全测试:在完全强制实施之前,使用干运行模式测试策略影响。
比较策略类型
基于上下文的网络策略包括两种类型:入口控制和出口控制。 下表对主要差异进行了汇总:
| Attribute | 入口流量控制 | 出口控制 |
|---|---|---|
| 它控制的内容 | 对 Azure Databricks 工作区终结点的入站请求。 | 从无服务器计算至外部目标的出站连接。 |
| 主要用例 | 限制谁可以从何处访问工作区,以及他们可访问的内容。 | 通过控制哪些外部资源无服务器计算可以连接到,防止数据外泄。 |
| 策略条件 | 标识(多个用户或多个服务主体) 网络源(CIDR 范围) 访问类型(工作区 UI、API、应用、Lakebase 计算) |
允许的位置 完全限定域名 (FQDN) 云存储容器 |
| 审核日志 |
system.access.inbound_network 系统表 |
system.access.outbound_network 系统表 |
基于上下文的策略的工作原理
通过入口控制,您可以:
- 通过要求有效凭据和受信任的网络源来停止从不受信任的网络进行访问。
- 允许使用基于标识的规则来取代 IP 白名单,以支持使用动态 IP 的 SaaS 自动化工具。
- 限制对工作区 UI 的敏感操作,同时允许 API 更广泛的访问。
- 仅将高特权服务主体限制为企业网络范围。
使用出口控制,您可以:
- 通过限制哪些外部 API 无服务器计算可以访问来防止数据外泄。
- 仅允许连接到批准的云存储存储桶和外部数据库。
- 在允许必要集成的同时,阻止与未经授权目标的出站连接。
- 通过将数据移动限制为已批准的区域和服务来强制实施合规性。
| 配置指南 | Description |
|---|---|
| 配置入口策略 | 设置允许和拒绝规则,这些规则将标识、网络源和访问类型组合在一起,以控制对工作区的入站请求。 |
| 配置出口策略 | 定义出站连接规则,以控制无服务器计算资源可以访问的外部目标。 |
实施模式
基于上下文的策略具有两种不同的强制模式:
- 强制模式:主动应用规则。 违反的请求将被阻止。
- 试运行模式:违规操作会被记录,但不会被阻止。 使用此模式在强制实施之前测试策略影响。
Databricks 建议从试运行模式开始,以避免意外的访问中断。
策略如何与其他控件交互
- IP 访问列表:IP 访问列表和入口策略必须允许请求。 如果在专用访问设置中禁用公共访问,系统将拒绝所有公共请求,而不考虑入口策略规则。
- 专用连接:启用公共访问时与入口策略一起工作。
- 安全配置文件:基于上下文的策略提供补充计算和数据治理的网络级控制。
最佳做法
- 从试运行模式开始,在强制实施之前验证策略行为。
- 对具有动态 IP 地址的 SaaS 客户端使用基于标识的规则。
- 首先将拒绝规则应用于高特权服务主体,以限制风险。
- 定期监视审核日志,以检测意外的访问模式。
- 测试出口策略,以确保所需的外部资源仍可访问。
- 使用描述性策略名称实现长期可维护性。