Utilizadores na rede do Azure Databricks

Este guia apresenta funcionalidades para personalizar o acesso à rede entre os utilizadores e os seus espaços de trabalho Azure Databricks e recursos ao nível da conta.

Por padrão, os usuários e aplicativos podem se conectar ao Azure Databricks de qualquer endereço IP. Os utilizadores podem aceder a fontes de dados críticas usando Azure Databricks. Se as credenciais de um utilizador forem comprometidas através de phishing ou de um ataque semelhante, proteger o acesso à rede reduz drasticamente o risco de aquisição de uma conta. Configurações como conectividade privada, listas de acesso IP e firewalls ajudam a manter os dados críticos seguros.

Você também pode configurar recursos de autenticação e controle de acesso para proteger as credenciais dos usuários, consulte Autenticação e controle de acesso.

Observação

Os usuários dos recursos de rede seguros do Azure Databricks exigem o plano Premium.

Conectividade privada

Entre os usuários do Azure Databricks e o plano de controle, o Private Link fornece controles fortes que limitam a origem das solicitações de entrada. Se sua organização roteia o tráfego por meio de um ambiente do Azure, você poderá usar o Private Link para garantir que a comunicação entre os usuários e o plano de controle Databricks não atravesse endereços IP públicos. Veja Configurar Ligação Privada de Entrada.

Controle de entrada baseado no contexto

Importante

Este recurso está no Public Preview.

O controlo de entrada baseado em contexto fornece políticas ao nível da conta que combinam identidade, tipo de pedido e fonte de rede para determinar quem pode aceder ao seu espaço de trabalho ou recurso ao nível da conta.

As políticas de ingresso permitem:

  • Permitir ou negar acesso à interface do usuário do espaço de trabalho, APIs ou computação do Lakebase.
  • Aplique regras a todos os usuários, todas as entidades de serviço ou identidades selecionadas específicas.
  • Conceda ou bloqueie o acesso de todos os IPs públicos ou de intervalos de IP específicos.
  • Execute no modo de execução seca para registrar recusas sem bloquear o tráfego ou no modo imposto para bloquear ativamente solicitações não confiáveis.
  • Permitir ou negar o acesso à interface e APIs ao nível da conta (por exemplo, acesso à consola da conta).
  • Conceda ou bloqueie o acesso a partir de todos os endpoints privados registados ou de endpoints privados registados específicos.

Cada conta inclui uma política de entrada padrão que se aplica a todos os espaços de trabalho qualificados.

Cada conta inclui também um único account-policy que se aplica a todos os recursos da conta. As listas de acesso IP ao espaço de trabalho e à consola da conta continuam a ser suportadas, mas só são avaliadas depois de a política de entrada baseada no contexto permitir um pedido.

Para obter mais informações, consulte Controle de entrada baseado no contexto.

Listas de acesso IP

A autenticação comprova a identidade do usuário, mas não impõe o local de rede dos usuários. O acesso a um serviço na nuvem a partir de uma rede não segura representa riscos de segurança, especialmente quando o utilizador pode ter acesso autorizado a dados sensíveis ou pessoais. Usando listas de acesso IP, você pode configurar espaços de trabalho do Azure Databricks para que os usuários se conectem ao serviço somente por meio de redes existentes com um perímetro seguro.

Também pode usar listas de acesso IP para controlar o acesso a recursos ao nível da conta.

Os administradores podem especificar os endereços IP que têm acesso permitido ao Azure Databricks. Você também pode especificar endereços IP ou sub-redes a serem bloqueadas. Para obter detalhes, consulte Gerenciar listas de acesso IP.

Você também pode usar o Link Privado para bloquear todo o acesso público à Internet a um espaço de trabalho do Azure Databricks.

Regras de firewall

Muitas organizações usam firewall para bloquear o tráfego com base em nomes de domínio. Você deve permitir a lista de nomes de domínio do Azure Databricks para garantir o acesso aos recursos do Azure Databricks. Para obter mais informações, consulte Configurar regras de firewall para nomes de domínio.

O Azure Databricks também executa a validação de cabeçalho de host para garantir que as solicitações usem domínios autorizados do Azure Databricks, como .azuredatabricks.net. As solicitações que usam domínios fora da rede do Azure Databricks serão bloqueadas. Esta medida de segurança protege contra possíveis ataques de cabeçalho de host HTTP.