托管安全是基础网络架构。 它通过用于控制平面连接的后端 专用链接,将 Azure Databricks 部署到你自己的 VNet 中,并在经典计算上默认启用 SCC。
Azure Databricks 通过每年一次的第三方渗透测试和公开漏洞赏金计划对平台进行测试。 请参阅 Databricks 安全附录。
此配置具有以下功能:
- 默认情况下,Secure:默认情况下,Azure Databricks启用 SCC、传输中的加密和经过身份验证的工作区访问。
- 专用控制平面连接:经典计算流量通过经典 专用链接 传输到 Azure Databricks 控制平面。
- 客户管理的网络:部署到自己的 VNet,以控制 IP 范围、路由和安全组。
- 无服务器计算:对笔记本和作业使用无服务器 SQL 仓库和无服务器计算。
在以下情况下使用此配置:
- 首次开始使用Azure Databricks。
- 在不严格网络隔离要求的情况下运行非管控工作负荷。
- 首选操作简单性,而不是自定义网络控件。
- 使用无服务器计算作为主要计算选项。
所需组件
Inbound
工作区访问使用标准标识和身份验证。 对于其他基线控制,请配置基于上下文的入口策略,以限制对组织网络(例如公司 VPN、Office IP 范围和标识)的工作区和 API 访问。 这增加了深度防御,而无需专用连接。
请参阅 基于上下文的入口控件。
出境
数据访问由 Unity 目录管理。 请参阅什么是 Unity Catalog?。 对于其他基线控制,可以选择部署外部防火墙来检查经典计算出口。
外部防火墙(可选)
通过外部防火墙转送经典计算出站流量,以进行检查、记录日志和实施策略。 在隔离环境中为必需;此处可选。
选项包括Azure 防火墙或第三方网络虚拟设备(NVA)。
Warning
Azure Databricks 控制平面与 SCC 中继连接使用 TLS,并采用证书锁定。 不要在群集与Azure Databricks控制平面之间的流量上启用 TLS 检查(解密和重新加密)。 这样做会导致群集发生故障。 有关所需终结点,请参阅 Azure Databricks 服务和资产的 IP 地址和域。
经典计算
如果使用经典计算,则默认应用以下控件:
安全集群连接
VNet 注入
将Azure Databricks部署到自己的虚拟网络,以控制 IP 地址范围、路由和网络安全组。 经典 专用链接 必需此项。
经典计算平面 专用链接
提供 VNet 与Azure Databricks控制平面之间的专用连接。 群集与控制平面之间的 REST API 和 SCC 中继流量保持专用。
请参阅 配置与 Azure Databricks 的经典计算平面专用连接。
有关包括加密在内的非网络安全控制,请参阅 安全性和符合性。
升级路径
| 升级路径 | 何时升级 |
|---|---|
| 强化的连接 | 如果您需要基于 IP 的工作区访问控制、无服务器出站控制、用于访问云服务的 VPC 端点,或用于出站流量检查的可选外部防火墙。 |
| 独立环境 | 如果您需要专用工作区访问权限(通过 VPN 或入站 专用链接)以及实现端到端网络隔离所需的外部防火墙。 |