Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Cette fonctionnalité nécessite le niveau Premium.
Cette page explique comment le contrôle de sortie serverless vous permet de gérer les connexions réseau sortantes à partir de vos ressources de calcul serverless.
Pour le contrôle d’entrée, consultez le contrôle d’entrée basé sur le contexte.
Le contrôle de sortie serverless renforce votre posture de sécurité en vous permettant de gérer les connexions sortantes à partir de vos charges de travail serverless, ce qui réduit le risque d’exfiltration des données.
À l’aide de stratégies réseau, vous pouvez effectuer les actions suivantes :
- Appliquer la posture de refus par défaut: contrôlez l’accès sortant avec une précision granulaire en activant une stratégie de refus par défaut pour les connexions d’API Internet, de stockage cloud et de Databricks.
- Simplifier la gestion: définissez une stratégie de contrôle de sortie cohérente pour toutes vos charges de travail sans serveur à travers plusieurs produits.
- Facilement gérer à grande échelle: gérez de manière centralisée votre posture sur plusieurs espaces de travail et appliquez une stratégie par défaut pour votre compte Databricks.
- Implémenter en toute sécurité des stratégies : atténuer les risques en évaluant d’abord les effets d’une nouvelle stratégie en mode sec avant l’application complète.
Le contrôle de sortie *serverless* est pris en charge avec les produits *serverless* suivants : notebooks, workflows, entrepôts SQL, pipelines déclaratifs Lakeflow Spark, Mosaic AI Model Serving, Contrôle de la qualité des données, et les applications Databricks avec une prise en charge limitée.
Remarque
L’activation des restrictions de sortie sur un espace de travail empêche Databricks Apps d’accéder aux ressources non autorisées. Toutefois, l’implémentation de restrictions de sortie peut affecter les fonctionnalités de l’application.
Présentation de la stratégie réseau
Une stratégie réseau est un objet de configuration appliqué au niveau du compte. Même si une stratégie réseau unique peut être associée à plusieurs espaces de travail, chaque espace de travail ne peut être lié qu’à une seule stratégie à la fois.
Les stratégies réseau définissent le mode d’accès réseau pour les charges de travail serverless au sein des espaces de travail associés. Il existe deux modes principaux :
Accès complet : les charges de travail serverless disposent d’un accès sortant illimité à Internet et à d’autres ressources réseau.
Accès restreint : l’accès sortant est limité à :
- Emplacements externes du catalogue Unity : emplacements externes configurés dans le catalogue Unity accessibles à partir de l’espace de travail. La région du catalogue Unity doit être identique à la région du compte de stockage Azure.
- Destinations définies explicitement : les noms de domaine complets et le compte de stockage Azure sont répertoriés dans la stratégie réseau.
Les stratégies ne régissent pas uniquement l’accès sortant. Ils peuvent également inclure des contrôles d’entrée, qui déterminent la façon dont le trafic réseau entre dans le système. Pour plus d’informations sur la configuration des contrôles d’entrée, consultez le contrôle d’entrée basé sur le contexte.
État de la sécurité
Lorsqu’une stratégie réseau est définie sur le mode d’accès restreint, les connexions réseau sortantes à partir de charges de travail serverless sont étroitement contrôlées.
| Comportement | Détails |
|---|---|
| Refuser par défaut la connectivité sortante | Les charges de travail serverless n’ont accès qu’aux destinations configurées via les emplacements externes de l’Unity Catalog, qui sont autorisés par défaut, les noms de domaine complets ou les emplacements de stockage définis dans la stratégie et les API d’espace de travail du même espace de travail que la charge de travail. La région du catalogue Unity doit être identique à la région du compte de stockage Azure. L’accès entre espaces de travail est refusé. |
| Aucun accès direct au stockage | L’accès direct à partir du code utilisateur dans les fonctions définies par l’utilisateur et les notebooks est interdit. Utilisez plutôt des abstractions Databricks comme Unity Catalog ou des montages DBFS. Les montages DBFS autorisent l’accès sécurisé aux données dans le compte de stockage Azure répertorié dans la stratégie réseau. |
| Destinations implicitement autorisées | Vous pouvez toujours accéder au compte de stockage Azure associé à votre espace de travail, aux tables système essentielles et aux exemples de jeux de données (en lecture seule). |
| Application de stratégie pour les points de terminaison privés | L’accès sortant via des points de terminaison privés est également soumis aux règles définies dans la stratégie réseau. La destination doit être répertoriée dans le catalogue Unity ou dans la stratégie. Cela garantit une mise en œuvre cohérente de la sécurité dans toutes les méthodes d’accès réseau. |