Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A política de entrada baseada em contexto no nível da conta está em Beta.
As políticas baseadas em contexto do Azure Databricks fornecem uma estrutura de segurança unificada para gerenciar o tráfego de entrada e de saída dos seus workspaces e dos recursos no nível da conta (por exemplo, o console da conta e o Genie no nível da conta). As políticas de workspace são configuradas em políticas de nível de workspace, com uma política de workspace padrão atribuída a todos os workspaces sem atribuição explícita. A política de nível de conta é configurada separadamente usando o único account-policy.
Com a entrada baseada em contexto, os administradores podem restringir o workspace e o acesso no nível da conta com base em uma combinação de identidade, fonte de rede e tipo de solicitação. As políticas de saída sem servidor estendem esse controle ao tráfego de saída limitando cargas de trabalho sem servidor a destinos autorizados. Juntas, essas políticas de rede ajudam a garantir que o acesso do usuário e a movimentação de dados permaneçam dentro dos limites confiáveis em toda a sua organização.
As políticas de rede baseadas em contexto complementam esses recursos de segurança existentes:
- Controle de entrada baseado em contexto:
- Listas de acesso a IP do ambiente de trabalho
- Listas de acesso a IP da conta
- Link Privado de Entrada (usando configurações de acesso privado)
- Controle de saída sem servidor:
- Link Privado de Saída (usando configurações de conectividade de rede)
Benefícios
As políticas de rede de entrada baseadas em contexto fornecem os seguintes benefícios para a segurança de rede:
- Segurança aprimorada: reduza o acesso não autorizado e os riscos de exfiltração de dados.
- Controle com reconhecimento de identidade: dê suporte a clientes SaaS sem intervalos de IP estáveis usando regras baseadas em identidade.
- Imposição flexível: aplique regras diferentes a diferentes tipos de solicitação, fontes e identidades.
- Gerenciamento centralizado: configure uma vez no nível da conta e aplique em vários espaços de trabalho.
- Teste seguro: use o modo de execução seca para testar os impactos da política antes da imposição completa.
Tipos de política comparados
As políticas de rede baseadas em contexto incluem dois tipos: controle de entrada e controle de saída. A tabela a seguir resume as principais diferenças:
| Attribute | Controle de entrada | Controle de saída |
|---|---|---|
| O que controla | Solicitações de entrada para o workspace do Azure Databricks e para os pontos de extremidade no nível da conta. | Conexões de saída da computação sem servidor para destinos externos. |
| Caso de uso primário | Restrinja quem pode acessar seu workspace e recursos no nível da conta, de onde e o que pode ser acessado. | Evite a exfiltração de dados controlando a quais recursos externos a computação sem servidor pode se conectar. |
| Critérios de política | Identidade (vários usuários ou várias entidades de serviço) Fonte de rede (faixa CIDR, pontos de extremidade privados registrados) Tipo de acesso: para workspaces (interface do usuário do workspace, API, Aplicativos, Computação do Lakebase); para a conta (interface do usuário da conta, API de conta) |
Locais permitidos FQDNs Contêineres de armazenamento em nuvem |
| Log de auditoria |
system.access.inbound_network tabela do sistema |
system.access.outbound_network tabela do sistema |
Como funcionam as políticas baseadas em contexto
Com o controle de entrada, você pode:
- Interrompa o acesso de redes não confiáveis exigindo credenciais válidas e uma fonte de rede confiável.
- Permitir ferramentas de automação SaaS com IPs dinâmicos usando regras baseadas em identidade em vez de listas de permissões de IP.
- Restrinja operações confidenciais à interface do usuário, permitindo acesso mais amplo à API.
- Limite somente entidades de serviço com alto privilégio a intervalos de rede corporativos.
Com o controle de saída, você pode:
- Evite a exfiltração de dados restringindo quais APIs externas a computação sem servidor pode alcançar.
- Permitir conectividade apenas para buckets de armazenamento em nuvem aprovados e bancos de dados externos.
- Bloqueie conexões de saída para destinos não autorizados, permitindo integrações necessárias.
- Imponha a conformidade limitando a movimentação de dados a regiões e serviços aprovados.
| Guia de configuração | DESCRIÇÃO |
|---|---|
| Configurar políticas de entrada | Configure regras de permissão e negação que combinem identidade, origem de rede e tipo de acesso para controlar solicitações de entrada para seu workspace. |
| Configurar políticas de saída | Defina regras de conexão de saída para controlar quais destinos externos seus recursos de computação sem servidor podem alcançar. |
Modos de imposição
As políticas baseadas em contexto têm dois modos diferentes de imposição:
- Modo imposto: as regras são aplicadas ativamente. Solicitações que violam regras são bloqueadas.
- Modo de execução seca: as violações são registradas, mas não bloqueadas. Use esse modo para testar os impactos da política antes da imposição.
O Databricks recomenda começar com o modo de simulação para evitar interrupções de acesso não intencionais.
Log de auditoria
O Azure Databricks registra todas as avaliações de política para conformidade e monitoramento:
- Entrada: conectado à tabela do sistema
system.access.inbound_network. - Saída: conectado à tabela do sistema
system.access.outbound_network.
Consulte esses logs para validar a eficácia da política e detectar tentativas de acesso não autorizadas.
Como as políticas interagem com outros controles
- Listas de acesso a IP: as listas de acesso IP e as políticas de entrada baseadas em contexto de acesso público devem permitir uma solicitação. Se você desabilitar o acesso público em suas configurações de acesso privado, o sistema negará todas as solicitações públicas, independentemente das regras de política de entrada.
-
Conectividade privada:
databricks_ui_apios pontos de extremidade funcionam em conjunto com as políticas de entrada pública do workspace quando o acesso público está habilitado. A entrada baseada em contexto é a única fonte de verdade para políticas de acesso privado no nível da conta.
- Perfis de segurança: as políticas baseadas em contexto fornecem controles de nível de rede que complementam a computação e a governança de dados.
Práticas recomendadas
- Comece com o modo de simulação para validar o comportamento da política antes da aplicação.
- Use regras baseadas em identidade para clientes SaaS com endereços IP dinâmicos.
- Aplique regras de negação às entidades de serviço de alto privilégio primeiro para limitar o risco.
- Monitore os logs de auditoria regularmente para detectar padrões de acesso inesperados.
- Teste as políticas de saída para garantir que os recursos externos necessários permaneçam acessíveis.
- Use nomes de política descritivos para manter a manutenção a longo prazo.