重要
アカウント レベルのコンテキストベースのイングレス ポリシーはベータ版です。
Azure Databricks コンテキスト ベースのポリシーは、ワークスペースとアカウント レベルのリソース (アカウント コンソールやアカウント レベルの Genie など) への受信トラフィックと送信トラフィックの両方を管理するための統合セキュリティ フレームワークを提供します。 ワークスペース ポリシーは 、ワークスペース レベルのポリシーで構成され、既定のワークスペース ポリシーが明示的な割り当てなしですべてのワークスペースに割り当てられます。 アカウント レベルのポリシーは、単一の account-policyを使用して個別に構成されます。
コンテキストベースのイングレスを使用すると、管理者は ID、ネットワーク ソース、および要求の種類の組み合わせに基づいて、ワークスペースとアカウント レベルのアクセスを制限できます。 サーバーレス エグレス ポリシーは、サーバーレス ワークロードを承認された宛先に制限することで、この制御を送信トラフィックに拡張します。 これらのネットワーク ポリシーを組み合わせることで、ユーザー アクセスとデータ移動の両方が組織全体の信頼できる境界内に維持されます。
コンテキストベースのネットワーク ポリシーは、次の既存のセキュリティ機能を補完します。
- コンテキストベースのイングレス制御:
- ワークスペースの IP アクセス リスト
- アカウント IP アクセス リスト
- インバウンド プライベート リンク (プライベート アクセス設定を使用)
- サーバーレス エグレス制御:
- アウトバウンド プライベート リンク (ネットワーク接続構成を使用)
メリット
コンテキストベースのイングレス ネットワーク ポリシーは、ネットワーク セキュリティに次の利点をもたらします。
- セキュリティ強化: 不正アクセスとデータ流出のリスクを軽減します。
- ID 対応の制御: ID ベースの規則を使用して、安定した IP 範囲を持たない SaaS クライアントをサポートします。
- 柔軟な適用: さまざまな要求の種類、ソース、ID に異なるルールを適用します。
- 一元管理: アカウント レベルで 1 回構成し、複数のワークスペースに適用します。
- 安全なテスト: ドライ ラン モードを使用して、完全な適用の前にポリシーの影響をテストします。
ポリシーの種類の比較
コンテキストベースのネットワーク ポリシーには、イングレス制御とエグレス制御の 2 種類があります。 次の表に主要な相違点を示します。
| 特性 | イングレス コントロール | 出口制御 |
|---|---|---|
| 制御する内容 | Azure Databricks のワークスペースおよびアカウント レベルのエンドポイントへの受信リクエスト。 | サーバーレス コンピューティングから外部の宛先への送信接続。 |
| 主なユース ケース | ワークスペースとアカウント レベルのリソースにアクセスできるユーザー、アクセスできる場所、アクセス可能なリソースを制限します。 | サーバーレス コンピューティングが接続できる外部リソースを制御して、データ流出を防ぎます。 |
| ポリシーの条件 | アイデンティティ (複数のユーザーまたは複数のサービス プリンシパル) ネットワーク ソース (CIDR 範囲、登録済みのプライベート エンドポイント) アクセスの種類: ワークスペース (ワークスペース UI、API、アプリ、Lakebase コンピューティング);アカウントの場合 (アカウント UI、アカウント API) |
許可される場所 FQDN クラウド ストレージ コンテナー |
| 監査ログ |
system.access.inbound_network システム テーブル |
system.access.outbound_network システム テーブル |
コンテキストベースのポリシーのしくみ
イングレス制御を使用すると、次のことができます。
- 有効な資格情報と信頼されたネットワーク ソースの両方を要求して、信頼されていないネットワークからのアクセスを停止します。
- IP 許可リストの代わりに ID ベースのルールを使用して、動的 IP を持つ SaaS オートメーション ツールを許可します。
- より広範な API アクセスを許可しながら、機密性の高い操作を UI に制限します。
- 高い特権を持つサービス プリンシパルを企業のネットワーク範囲のみに制限します。
エグレス 制御を使用すると、次のことができます。
- サーバーレス コンピューティングが到達できる外部 API を制限することで、データ流出を防ぎます。
- 承認されたクラウド ストレージ バケットと外部データベースへの接続のみを許可します。
- 必要な統合を許可しながら、承認されていない宛先への送信接続をブロックします。
- 承認されたリージョンとサービスへのデータ移動を制限することで、コンプライアンスを適用します。
| 構成ガイド | Description |
|---|---|
| イングレス ポリシーを構成する | ID、ネットワーク ソース、アクセスの種類を組み合わせてワークスペースへの受信要求を制御する許可規則と拒否規則を設定します。 |
| エグレス ポリシーを構成する | 送信接続規則を定義して、サーバーレス コンピューティング リソースが到達できる外部宛先を制御します。 |
強制モード
コンテキスト ベースのポリシーには、次の 2 つの異なる適用モードがあります。
- 適用モード: 規則がアクティブに適用されます。 違反している要求はブロックされます。
- ドライ ラン モード: 違反はログに記録されますが、ブロックされません。 適用前にポリシーの影響をテストするには、このモードを使用します。
Databricks では、意図しないアクセスの中断を回避するために、ドライ ラン モードから開始することをお勧めします。
監査ログ
Azure Databricks では、コンプライアンスと監視のすべてのポリシー評価がログに記録されます。
- イングレス:
system.access.inbound_networkシステム テーブルに記録されます。 - エグレス:
system.access.outbound_networkシステム テーブルにログインしています。
これらのログに対してクエリを実行してポリシーの有効性を検証し、未承認のアクセス試行を検出します。
ポリシーが他のコントロールと対話する方法
- IP アクセス リスト: IP アクセス リストとパブリック アクセス コンテキストベースのイングレス ポリシーの両方で、要求を許可する必要があります。 プライベート アクセス設定でパブリック アクセスを無効にした場合、システムはイングレス ポリシールールに関係なくすべてのパブリック要求を拒否します。
-
プライベート接続:
databricks_ui_apiエンドポイントは、パブリック アクセスが有効になっている場合、ワークスペースのパブリック イングレス ポリシーと共に機能します。 コンテキストベースのイングレスは、アカウント レベルのプライベート アクセス ポリシーの単一の信頼のソースです。
- セキュリティ プロファイル: コンテキストベースのポリシーは、コンピューティングとデータのガバナンスを補完するネットワーク レベルの制御を提供します。
ベスト プラクティス
- ドライ ラン モードから開始し、適用前にポリシーの動作を検証します。
- 動的 IP アドレスを持つ SaaS クライアントには、ID ベースの規則を使用します。
- 高い特権を持つサービス プリンシパルに拒否規則を最初に適用して、リスクを制限します。
- 監査ログを定期的に監視して、予期しないアクセス パターンを検出します。
- エグレス ポリシーをテストして、必要な外部リソースに引き続きアクセスできることを確認します。
- 長期的な保守容易性を確保するには、説明的なポリシー名を使用します。