本文介绍如何通过无服务器出口控制利用无服务器计算资源管理出站网络连接。
无服务器出站控制通过让您管理无服务器工作负载的外向连接来增强安全态势,从而降低数据泄露的风险。
使用网络策略,你可以:
- 强制实施默认拒绝策略:通过为 Internet、云存储和 Databricks API 连接启用默认拒绝策略,精细控制出站访问。
- 简化管理:为跨多个无服务器产品的所有无服务器工作负载定义一致的出口控制策略。
- 轻松大规模管理:集中管理多个工作区的安全态势,并对 Databricks 帐户实施默认策略。
- 安全实施策略:通过在完全强制实施之前先评估任何新策略的影响来缓解风险。
此预览版支持以下无服务器产品:笔记本、工作流、SQL 仓库、Lakeflow 声明性管道、马赛克 AI 模型服务、Lakehouse 监视和 Databricks 应用,支持有限。
:::
注释
对工作区启用出口限制可防止 Databricks 应用访问未经授权的资源。 但是,实现出口限制可能会影响应用程序功能。
网络策略概述
网络策略是在 Azure Databricks 帐户级别应用的配置对象。 虽然单个网络策略可以与多个 Azure Databricks 工作区关联,但每个工作区一次只能链接到一个策略。
网络策略将为关联工作区中的无服务器工作负荷定义网络访问模式。 有两种主要模式:
完全访问权限:无服务器工作负荷对 Internet 和其他网络资源具有无限制的出站访问。
受限访问:出站访问限制为:
- Unity 目录外部位置:在可从工作区访问的 Unity 目录中配置的外部位置。 Unity 目录区域必须与 Azure 存储帐户区域相同。
- 显式定义的目标:FQDN 和 Azure 存储帐户列在网络策略中。
安全状况
将网络策略设置为受限访问模式时,会严格控制来自无服务器工作负荷的出站网络连接。
| 行为 | 详细信息 |
|---|---|
| 默认拒绝出站连接 | 无服务器工作负荷只有权访问以下内容:通过默认允许的 Unity Catalog 外部位置配置的目标;策略中定义的 FQDN 或存储位置;以及工作负荷所在相同工作区的工作区 API。 Unity 目录区域必须与 Azure 存储帐户区域相同。 跨工作区访问被拒绝。 |
| 无直接存储访问 | 禁止从 UDF 和笔记本中的用户代码直接访问。 请转而使用 Databricks 抽象,例如 Unity Catalog 或 DBFS 挂载。 DBFS 装载允许安全访问网络策略中列出的 Azure 存储帐户中的数据。 |
| 隐式允许的目标 | 始终可以访问与工作区、基本系统表和示例数据集(只读)关联的 Azure 存储帐户。 |
| 专用终结点的策略强制实施 | 通过专用终结点进行出站访问也受网络策略中定义的规则的约束。 目标必须在 Unity Catalog 或策略中列出。 这可确保在所有网络访问方法中实现一致的安全措施。 |