Mise en réseau des utilisateurs sur Azure Databricks

Ce guide présente les fonctionnalités permettant de personnaliser l’accès réseau entre les utilisateurs et leurs espaces de travail Azure Databricks.

Pourquoi personnaliser la mise en réseau des utilisateurs vers Azure Databricks ?

Par défaut, les utilisateurs et les applications peuvent se connecter à Azure Databricks à partir de n’importe quelle adresse IP. Les utilisateurs peuvent accéder à des sources de données critiques à l’aide d’Azure Databricks. Dans l'éventualité où les informations d’identification d’un utilisateur seraient compromises en raison d’une attaque par hameçonnage ou autre attaque similaire, la sécurisation de l’accès réseau réduit considérablement le risque de prise de contrôle d’un compte. Les configurations telles que la connectivité privée, les listes d’accès IP et les pare-feu permettent de maintenir vos données critiques sécurisées.

Vous pouvez également configurer les fonctionnalités d’authentification et de contrôle d’accès pour protéger les informations d’identification de votre utilisateur. Pour en savoir plus, consultez Authentification et contrôle d’accès.

Remarque

Les utilisateurs des fonctionnalités de mise en réseau sécurisée Azure Databricks ont besoin du Plan Premium.

Connectivité privée

Entre les utilisateurs Azure Databricks et le plan de contrôle, Private Link fournit des contrôles forts qui limitent la source pour les requêtes entrantes. Si votre organisation achemine le trafic via un environnement Azure, vous pouvez utiliser Private Link pour vous assurer que la communication entre les utilisateurs et le plan de contrôle Databricks ne traverse pas d’adresses IP publiques. Consultez Configurer une connectivité privée vers Azure Databricks.

Listes d’accès IP

L’authentification prouve l’identité de l’utilisateur, mais n’applique pas l’emplacement réseau des utilisateurs. L’accès à un service cloud à partir d’un réseau non sécurisé pose des risques de sécurité, en particulier lorsque l’utilisateur peut avoir un accès autorisé à des données sensibles ou personnelles. Lorsque vous utilisez des listes d’accès IP, vous pouvez configurer des espaces de travail Azure Databricks de manière à ce que les utilisateurs se connectent au service uniquement via des réseaux existants disposant d’un périmètre sécurisé.

Les administrateurs peuvent spécifier les adresses IP autorisées à accéder à Azure Databricks. Vous pouvez également spécifier des adresses IP ou des sous-réseaux à bloquer. Pour plus d’informations, consultez Gérer les listes d’accès IP.

Vous pouvez également utiliser Private Link pour bloquer tout accès Internet public à un espace de travail Azure Databricks.

Règles de pare-feu

De nombreuses organisations utilisent un pare-feu pour bloquer le trafic en fonction des noms de domaine. Vous devez autoriser la liste des noms de domaine Azure Databricks pour garantir l’accès aux ressources Azure Databricks. Pour plus d’informations, consultez Configurer des règles de pare-feu de noms de domaine.

Azure Databricks effectue également la validation de l’en-tête de l’hôte pour les connexions publiques et privées afin de s’assurer que les requêtes proviennent de l’hôte prévu. Cela protège contre les attaques HTTP potentielles de l’en-tête de l’hôte.