Пользователи в сети Azure Databricks

В этом руководстве представлены функции настройки сетевого доступа между пользователями и рабочими областями Azure Databricks.

Зачем настраивать сеть пользователей в Azure Databricks?

По умолчанию пользователи и приложения могут подключаться к Azure Databricks с любого IP-адреса. Пользователи могут получить доступ к критически важным источникам данных с помощью Azure Databricks. В случае, если учетные данные пользователя скомпрометируются через фишинг или аналогичную атаку, защита сетевого доступа значительно снижает риск принятия учетной записи. Такие конфигурации, как частные подключения, списки IP-доступа и брандмауэры, помогают обеспечить безопасность критически важных данных.

Вы также можете настроить функции проверки подлинности и управления доступом для защиты учетных данных пользователя, см. статью "Проверка подлинности и управление доступом".

Примечание.

Пользователям в Azure Databricks требуется безопасный сетевой план Premium.

Частное подключение

Между пользователями Azure Databricks и плоскости управления Приватный канал предоставляют строгие элементы управления, ограничивающие источник входящих запросов. Если организация направляет трафик через среду Azure, вы можете использовать Приватный канал для обеспечения связи между пользователями и плоскости управления Databricks не проходит через общедоступные IP-адреса. См. статью "Настройка частного подключения к Azure Databricks".

Список доступа — IP-адреса

Проверка подлинности подтверждает удостоверение пользователя, но не обеспечивает расположение пользователей в сети. Доступ к облачной службе из незащищенной сети представляет угрозу безопасности, особенно если пользователь имеет авторизованный доступ к конфиденциальным или личным данным. С помощью списков IP-доступа можно настроить рабочие области Azure Databricks, чтобы пользователи подключались к службе только через существующие сети с безопасным периметром.

Администратор могут указать IP-адреса, которым разрешен доступ к Azure Databricks. Вы также можете указать IP-адреса или подсети для блокировки. Дополнительные сведения см. в разделе "Управление списками доступа к IP-адресам".

Вы также можете использовать Приватный канал для блокировки всех общедоступных интернет-доступа к рабочей области Azure Databricks.

Правила брандмауэра

Многие организации используют брандмауэр для блокировки трафика на основе доменных имен. Чтобы обеспечить доступ к ресурсам Azure Databricks, необходимо разрешить список доменных имен Azure Databricks. Дополнительные сведения см. в разделе "Настройка правил брандмауэра доменных имен".

Azure Databricks также выполняет проверку заголовка узла как для общедоступных, так и частных подключений, чтобы гарантировать, что запросы исходят из предполагаемого узла. Это защищает от потенциальных атак заголовков узла HTTP.