Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan förklarar hur serverlös utgående kontroll gör att du kan hantera utgående nätverksanslutningar från dina serverlösa beräkningsresurser.
Information om ingresskontroll finns i Sammanhangsbaserad ingresskontroll.
Serverlös utgående kontroll stärker din säkerhetsstatus genom att du kan hantera utgående anslutningar från dina serverlösa arbetsbelastningar, vilket minskar risken för dataexfiltrering.
Med hjälp av nätverksprinciper kan du:
- Framtvinga status neka som standard: Kontrollera utgående åtkomst med detaljerad precision genom att aktivera en princip som nekar som standard för Internet-, molnlagrings- och Databricks API-anslutningar.
- Förenkla hanteringen: Definiera en konsekvent utgående kontrollstrategi för alla dina serverlösa arbetsbelastningar över flera produkter.
- Hantera enkelt i stor skala: Hantera din hållning centralt över flera arbetsytor och tillämpa en standardprincip för ditt Databricks-konto.
- Implementera principer på ett säkert sätt: Minska risken genom att utvärdera effekterna av en ny princip först i torrkörningsläge innan fullständig tillämpning.
Serverlös utgående kontroll stöds med följande serverlösa produkter: anteckningsböcker, arbetsflöden, SQL-magasin, Lakeflow deklarativa pipelines, Mosaic AI Model Serving, Lakehouse Monitoring och Databricks Apps med begränsat stöd.
Not
Om du aktiverar utgående begränsningar på en arbetsyta hindras Databricks-appar från att komma åt obehöriga resurser. Implementering av utgående begränsningar kan dock påverka applikationens funktionalitet.
Översikt över nätverksprincip
En nätverksprincip är ett konfigurationsobjekt som tillämpas på kontonivå. En enskild nätverksprincip kan associeras med flera arbetsytor, men varje arbetsyta kan bara länkas till en princip i taget.
Nätverksprinciper definierar nätverksåtkomstläget för serverlösa arbetsbelastningar på de associerade arbetsytorna. Det finns två primära lägen:
Fullständig åtkomst: Serverlösa arbetsbelastningar har obegränsad utgående åtkomst till Internet och andra nätverksresurser.
Begränsad åtkomst: Utgående åtkomst är begränsad till:
- Externa platser i Unity Catalog: Externa platser som konfigurerats i Unity Catalog och som är tillgängliga från arbetsytan. Unity Catalog-regionen måste vara samma som Azure Storage-kontoregionen.
- Destinationer som är explicit definierade: FQDN:er och Azure-lagringskonton anges i nätverkspolicyn.
Principer styr inte bara utgående åtkomst. De kan också innehålla ingresskontroller som avgör hur nätverkstrafiken kommer in i systemet. Mer information om hur du konfigurerar ingresskontroller finns i Sammanhangsbaserad ingresskontroll.
Säkerhetsstatus
När en nätverksprincip är inställd på begränsat åtkomstläge kontrolleras utgående nätverksanslutningar från serverlösa arbetsbelastningar noggrant.
| Uppförande | Detaljer |
|---|---|
| Neka utgående anslutning som standardinställning | Serverlösa arbetsbelastningar har bara åtkomst till följande: mål som konfigureras via externa platser i Unity Catalog, som är tillåtna som standard, FQDNs eller lagringsplatser som definieras i policyn och arbetsyta-API:er för samma arbetsyta som arbetsbelastningen. Unity Catalog-regionen måste vara samma som Azure Storage-kontoregionen. Åtkomst mellan arbetsytor nekas. |
| Ingen direkt lagringsåtkomst | Direktåtkomst från användarkod i UDF:er och notebook-filer är förbjuden. Använd i stället Databricks-abstraktioner som Unity Catalog eller DBFS-monteringar. DBFS-monteringar ger säker åtkomst till data i Azure-lagringskontot som anges i nätverkspolicyn. |
| Implicit tillåtna destinationer | Du kan alltid komma åt azure-lagringskontot som är associerat med din arbetsyta, viktiga systemtabeller och exempeldatauppsättningar (skrivskyddade). |
| Policytillämpning för privata slutpunkter | Utgående åtkomst via privata slutpunkter omfattas också av de regler som definieras i nätverksprincipen. Destinationen måste anges antingen i Unity-katalogen eller inom policyn. Detta säkerställer konsekvent säkerhet för alla metoder för nätverksåtkomst. |