本指南介绍了自定义用户与其 Azure Databricks 工作区之间的网络访问的功能。
为什么要自定义用户到 Azure Databricks 的网络?
默认情况下,用户和应用程序可以从任何 IP 地址连接到 Azure Databricks。 用户可以使用 Azure Databricks 访问关键数据源。 如果用户的凭据因网络钓鱼或类似攻击遭到入侵,则保护网络访问可大幅降低帐户接管的风险。 专用连接、IP 访问列表和防火墙等配置有助于保护关键数据的安全。
还可以配置身份验证和访问控制功能来保护用户的凭据,请参阅身份验证和访问控制。
备注
用户与 Azure Databricks 的安全网络功能要求具有高级计划。
专用连接
在 Azure Databricks 用户与控制平面之间,专用链接提供强控制来限制入站请求的源。 如果组织通过 Azure 环境路由流量,则可以使用专用链接来确保用户与 Databricks 控制平面之间的通信不会遍历公共 IP 地址。 请参阅配置与 Azure Databricks 的专用连接。
IP 访问列表
身份验证可证明用户身份,但对用户的网络位置并没有强制要求。 从不安全的网络访问云服务会带来安全风险,尤其是在用户可能已获得授权访问敏感数据或个人数据的情况下。 使用 IP 访问列表,可以配置 Azure Databricks 工作区,以便用户仅通过具有安全外围的现有网络连接到服务。
管理员可以指定允许访问 Azure Databricks 的 IP 地址。 还可以指定要阻止的 IP 地址或子网。 有关详细信息,请参阅管理 IP 访问列表。
还可以使用专用链接阻止对 Azure Databricks 工作区的所有公共 Internet 访问。
防火墙规则
许多组织使用防火墙来基于域名阻止流量。 必须将 Azure Databricks 域名加入允许列表,才能确保可以访问 Azure Databricks 资源。 有关详细信息,请参阅配置域名防火墙规则。
Azure Databricks 还对公共和专用连接执行主机头验证,以确保请求源自目标主机。 这可以防止潜在的 HTTP 主机头攻击。