Conectividade de usuários ao Azure Databricks

Este guia apresenta recursos para personalizar o acesso à rede entre os usuários e seus workspaces do Azure Databricks.

Por que personalizar a rede entre os usuários e o Azure Databricks?

Por padrão, usuários e aplicativos podem se conectar ao Azure Databricks de qualquer endereço IP. Os usuários podem acessar fontes de dados críticas usando o Azure Databricks. Se as credenciais de um usuário forem comprometidas por meio de phishing ou um ataque semelhante, proteger o acesso à rede reduzirá drasticamente o risco de uma aquisição de conta. Configurações como conectividade privada, listas de acesso IP e firewalls ajudam a manter os dados críticos seguros.

Você também pode configurar recursos de autenticação e controle de acesso para proteger as credenciais dos usuários, consulte Autenticação e controle de acesso.

Conectividade privada

Entre usuários do Azure Databricks e o plano de controle, o Link Privado fornece controles fortes que limitam a origem para solicitações de entrada. Se sua organização rotear o tráfego por meio de um ambiente do Azure, você poderá usar o Link Privado para garantir que a comunicação entre os usuários e o plano de controle do Databricks não percorra endereços IP públicos. Consulte Configurar Front-end Link Privado.

Controle de entrada baseado em contexto

O controle de entrada baseado em contexto fornece políticas de nível de conta que combinam identidade, tipo de solicitação e fonte de rede para determinar quem pode acessar seu workspace. As políticas de entrada permitem que você:

• Permitir ou negar acesso à interface do usuário do workspace, APIs ou computação do Lakebase.
• Aplique regras a todos os usuários, a todas as entidades de serviço ou a identidades selecionadas específicas.
• Conceda ou bloqueie o acesso de todos os IPs públicos ou de intervalos de IP específicos.
• Execute no modo teste para registrar negações sem bloquear o tráfego ou no modo de imposição para bloquear ativamente solicitações não confiáveis.

Cada conta inclui uma política de entrada padrão que se aplica a todos os workspaces qualificados. Ainda há suporte para listas de acesso IP do workspace, mas elas são avaliadas somente depois que a política de entrada da conta permite uma solicitação. Para obter mais informações, consulte o controle de entrada baseado em contexto.

Listas de acesso a IP

A autenticação prova a identidade do usuário, mas não impõe o local de rede dos usuários. Acessar um serviço de nuvem de uma rede sem segurança representa riscos de segurança, especialmente quando o usuário pode ter acesso autorizado a dados confidenciais ou pessoais. Usando listas de acesso IP, você pode configurar workspaces do Azure Databricks para que os usuários se conectem ao serviço apenas por meio de redes existentes com um perímetro seguro.

Os administradores podem especificar os endereços IP que têm permissão de acesso ao Azure Databricks. Você também pode especificar endereços IP ou sub-redes a serem bloqueadas. Para obter detalhes, consulte Gerenciar listas de acesso ip.

Você também pode usar o Link Privado para bloquear todo o acesso público à Internet a um workspace do Azure Databricks.

Regras de firewall

Muitas organizações usam o firewall para bloquear o tráfego com base em nomes de domínio. Você deve permitir listar nomes de domínio do Azure Databricks para garantir o acesso aos recursos do Azure Databricks. Para obter mais informações, consulte Configurar regras de firewall de nome de domínio.

O Azure Databricks também executa a validação de cabeçalho de host para garantir que as solicitações usem domínios autorizados do Azure Databricks, como .azuredatabricks.net. As solicitações que usam domínios fora da rede do Azure Databricks serão bloqueadas. Essa medida de segurança protege contra possíveis ataques de cabeçalho de host HTTP.