Seguridad administrada

La seguridad administrada es la arquitectura de red de línea base. Implementa Azure Databricks en su propia VNet con SCC habilitado de forma predeterminada en los recursos de proceso clásicos. Opcionalmente, puede añadir Private Link clásico para la conectividad privada con el plano de control.

Note

A diferencia de la conectividad protegida y el entorno aislado, la seguridad administrada no requiere Azure Databricks nivel Premium. Habilitar el plano de proceso clásico opcional Private Link es la única configuración que requiere este nivel.

Azure Databricks prueba la plataforma con pruebas de penetración de terceros anuales y un programa público de recompensas por errores. Consulte el Anexo de seguridad de Databricks.

Esta configuración tiene:

  • Seguro de forma predeterminada: Azure Databricks habilita SCC, cifrado en tránsito y acceso al área de trabajo autenticada de forma predeterminada.
  • Conectividad de plano de control privado opcional: agregue Private Link de plano de proceso clásico para enrutar el tráfico de proceso clásico al plano de control de Azure Databricks a través de una red privada. Requiere Azure Databricks nivel Premium.
  • Red administrada por el cliente: implemente en su propia red virtual para controlar los intervalos IP, el enrutamiento y los grupos de seguridad.
  • Cómputo sin servidor: Use almacenes SQL sin servidor y cómputo sin servidor para cuadernos de notas y tareas.

Use esta configuración cuando:

  • Introducción a Azure Databricks por primera vez.
  • Ejecución de cargas de trabajo no reguladas sin requisitos estrictos de aislamiento de red.
  • Preferir la simplicidad operativa en lugar de los controles de red personalizados.
  • Uso del proceso sin servidor como opción de proceso principal.

Componentes necesarios

Inbound

El acceso al área de trabajo usa la identidad y la autenticación estándar. Como control de referencia adicional, configure una política de acceso entrante basada en el contexto para restringir el acceso al espacio de trabajo y a la API a las redes de su organización, como VPN corporativas, rangos de IP de la oficina e identidades. Esto agrega defensa en profundidad sin necesidad de conectividad privada.

Consulte Control de entrada basado en contexto.

Outbound

El acceso a los datos se rige por unity Catalog. Consulte ¿Qué es Unity Catalog? Para un control de línea base adicional, puede implementar opcionalmente un firewall externo para inspeccionar la salida de proceso clásica.

Icono de escudo. Firewall externo (opcional)

Enrutar el tráfico saliente de cómputo clásico a través de un cortafuegos externo para su inspección, registro y aplicación de directivas. Requerido en el entorno aislado; opcional aquí.

Las opciones incluyen Azure Firewall o una aplicación virtual de red de terceros (NVA).

Advertencia

El plano de control de Azure Databricks y las conexiones de retransmisión de SCC usan TLS con fijación de certificados. No active la inspección TLS (descifrar y volver a cifrar) en el tráfico entre sus clústeres y el plano de control de Azure Databricks. Si lo hace, se producen errores en el clúster. Consulte las direcciones IP y los dominios de los servicios y recursos de Azure Databricks para conocer los puntos de conexión necesarios.

Computación clásica

Si usa el proceso clásico, la seguridad administrada aplica los siguientes controles de forma predeterminada:

Icono de escudo con marca de verificación. Conectividad segura del clúster

Elimina las direcciones IP públicas en los nodos del clúster. Habilitado de forma predeterminada sin ninguna configuración adicional necesaria.

Consulte Habilitación de la conectividad segura del clúster.

Icono de información. Inyección de VNet

Implemente Azure Databricks en su propia red virtual para controlar los intervalos de direcciones IP, el enrutamiento y los grupos de seguridad de red. Necesario para la Private Link clásica.

Consulte Despliegue Azure Databricks en su red virtual de Azure (Inyección de VNet).

El siguiente control es opcional:

Icono de enlace. Private Link del plano de proceso clásico (opcional)

Proporciona conectividad privada entre la red virtual y el plano de control de Azure Databricks. La API REST y el tráfico de retransmisión SCC entre clústeres y el plano de control permanecen privados en lugar de usar la red pública de Internet. Requiere Azure Databricks nivel Premium y no está habilitado de forma predeterminada.

Consulte Configuración de la conectividad privada del plano de proceso clásico para Azure Databricks.

Para los controles de seguridad que no son de red, incluido el cifrado, consulte Seguridad y cumplimiento.

Rutas de actualización

Ruta de actualización Cuándo actualizar
Conectividad protegida Si necesita controles de acceso al área de trabajo basadas en IP, controles de salida sin servidor, puntos de conexión de VPC para el acceso al servicio en la nube o un firewall externo opcional para la inspección de salida.
Entorno aislado Si necesita acceso a un espacio de trabajo privado (por VPN o mediante Private Link entrante) y un firewall externo obligatorio para el aislamiento de red de extremo a extremo.