本指南介绍了自定义用户与其 Azure Databricks 工作区之间的网络访问的功能。
为什么要自定义用户到 Azure Databricks 的网络?
默认情况下,用户和应用程序可以从任何 IP 地址连接到 Azure Databricks。 用户可以使用 Azure Databricks 访问关键数据源。 如果用户的凭据通过网络钓鱼或类似攻击遭到入侵,则保护网络访问可大幅降低帐户接管的风险。 专用连接、IP 访问列表和防火墙等配置有助于确保关键数据安全。
还可以配置身份验证和访问控制功能来保护用户的凭据,请参阅 “身份验证和访问控制”。
注意
用户与 Azure Databricks 的安全网络功能要求具有高级计划。
专用连接
在 Azure Databricks 用户与控制平面之间,专用链接提供强控制来限制入站请求的源。 如果组织通过 Azure 环境路由流量,则可以使用专用链接来确保用户与 Databricks 控制平面之间的通信不会遍历公共 IP 地址。 请参阅 配置前端专用链接。
基于上下文的入口控件
重要
此功能目前以公共预览版提供。
基于上下文的入口控制提供帐户级策略,这些策略结合了标识、请求类型和网络源,以确定谁可以访问工作区。 入口策略允许你:
- 允许或拒绝访问 工作区 UI、 API 或 Lakebase 计算。
- 将规则应用于所有用户、所有服务主体或特定所选标识。
- 授予或阻止来自所有公共 IP 或特定 IP 范围的访问。
- 在 干运行模式下 运行,在不阻止流量的情况下记录拒绝,或在 强制模式下 主动阻止不受信任的请求。
每个帐户都包含一个适用于所有符合条件的工作区的默认入口策略。 仍支持工作区 IP 访问列表,但仅在帐户入口策略允许请求后评估它们。 有关详细信息,请参阅 基于上下文的入口控件。
IP 访问列表
身份验证证明用户身份,但不强制验证用户的网络位置。 从不安全的网络访问云服务会带来安全风险,尤其是在用户可能已获得授权访问敏感数据或个人数据的情况下。 使用 IP 访问列表,可以配置 Azure Databricks 工作区,以便用户只能通过具有安全外围的现有网络连接到服务。
管理员可以指定允许访问 Azure Databricks 的 IP 地址。 还可以指定要阻止的 IP 地址或子网。 有关详细信息,请参阅管理 IP 访问列表。
还可以使用专用链接阻止对 Azure Databricks 工作区的所有公共 Internet 访问。
防火墙规则
许多组织使用防火墙来基于域名阻止流量。 必须将 Azure Databricks 域名加入允许列表,才能确保可以访问 Azure Databricks 资源。 有关详细信息,请参阅配置域名防火墙规则。
Azure Databricks 还会执行主机标头验证,以确保请求使用授权的 Azure Databricks 域(如 .databricks.azure.cn)。 将阻止使用 Azure Databricks 网络外部的域的请求。 此安全措施可防范潜在的 HTTP 主机标头攻击。