メインコンテンツまでスキップ
最終更新

管理されたセキュリティ

マネージドセキュリティはベースラインのネットワークアーキテクチャです。独自のVPCにDatabricksをデプロイし、クラシックコンピュートではSCCがデフォルトで有効になります。プライベートなコントロールプレーン接続のために、オプションでクラシックPrivateLinkを追加できます。

注記

強化された接続および分離環境とは異なり、マネージドセキュリティはDatabricks Enterpriseプランを必要としません。この層を必要とする設定は、オプションのクラシックコンピュートプレーンPrivateLinkを有効にすることだけです。

Databricks は、年次のサードパーティペネトレーションテストと公開バグ報奨金プログラムにより、プラットフォームをテストしています。Databricks セキュリティに関する補足条項を参照してください。

この構成には:

  • デフォルトで安全 :Databricks は、SCC、転送中の暗号化、および認証済みワークスペースアクセスをデフォルトで有効にしています。
  • オプションのプライベートコントロールプレーン接続 : クラシックコンピュートトラフィックをプライベートネットワーク経由でDatabricksコントロールプレーンにルーティングするために、クラシックコンピュートプレーンPrivateLinkを追加します。Databricks Enterprise プランが必要です。
  • 顧客管理ネットワーク :IP範囲、ルーティング、セキュリティグループを制御するため、独自のVPCにデプロイします。
  • サーバレスコンピュート :ノートブックとジョブには、サーバレス SQLウェアハウスとサーバレスコンピュートを使用します。

この設定は次の場合に使用します:

  • 初めて Databricks を使ってみる。
  • 厳格なネットワーク分離要件なしに、規制対象外のワークロードを実行します。
  • カスタマイズされたネットワーク制御よりも、運用上のシンプルさを重視します。
  • サーバレス コンピュートを主要なコンピュート オプションとして使用しています。

必須コンポーネント

インバウンド

ワークスペースのアクセスは標準のIDと認証を使用します。追加のベースライン制御として、ワークスペースおよびAPIアクセスを、企業VPN、オフィスIP範囲、IDなど、組織のネットワークに制限するよう、コンテキストベースのイングレスポリシーを構成します。これにより、プライベートな接続を必要とせずに、多層防御を実現できます。

コンテキストベースのイングレス制御を参照してください。

アウトバウンド

データアクセスはUnity Catalogによって管理されています。「Unity Catalog とは」を参照してください。追加のベースライン制御として、外部ファイアウォールを任意でデプロイし、クラシックコンピュートからの送信を検査できます。

シールドアイコン。 外部ファイアウォール (オプション)

従来のコンピュートのエグレスを、検査、ログ記録、およびポリシーの強制適用のため、外部ファイアウォール経由でルーティングします。隔離環境では必須ですが、ここでは任意です。

選択肢には、AWS Network Firewall(マネージドサービス、AWSルーティングと統合)、またはGateway Load Balancerと統合されたPalo Altoのようなサードパーティ製アプライアンスがあります。

警告

Databricks control plane and SCC relay connections use TLS with certificate pinning. Do not enable TLS inspection (decrypt and re-encrypt) on traffic between your clusters and the Databricks control plane. Doing so causes cluster failures. See IP addresses and domains for Databricks services and assets for required endpoints.

Classic コンピュート

クラシック コンピュートを使用する場合、Managed Security では、次の制御がデフォルトで適用されます:

シールドチェックアイコン。 セキュアなクラスター接続

クラスターノードのパブリック IP アドレスを削除します。デフォルトで有効であり、追加の構成は不要です。

「クラシック コンピュート プレーン ネットワーク」を参照してください。

情報アイコン。 顧客管理VPC

Databricks を独自の仮想ネットワークにデプロイして、IPアドレス範囲、ルーティング、およびセキュリティグループを制御します。クラシックPrivateLinkに必要です。

顧客管理VPC構成を参照してください。

以下のコントロールはオプションです。

リンクアイコン。 クラシックコンピュートプレーンPrivateLink(任意)

VPC と Databricks コントロールプレーン間のプライベート接続を提供します。REST API と SCC リレー トラフィックは、クラスターとコントロール プレーン間でパブリック インターネットを使用するのではなく、プライベートに保たれます。Databricks Enterpriseプランが必須であり、デフォルトでは有効になっていません。

Databricks への従来のプライベート接続を構成する」を参照してください。

ネットワーク以外のセキュリティコントロール(暗号化など)については、「セキュリティとコンプライアンス」を参照してください。

アップグレード パス

    • 強化された接続
    • IPベースのワークスペースアクセス制御、サーバレス出力制御、クラウドサービスアクセス用のVPCエンドポイント、または出力検査用のオプションの外部ファイアウォールが必要な場合。
    • 隔離された環境
    • プライベートワークスペースアクセス(VPN経由またはインバウンド PrivateLink)およびエンドツーエンドのネットワーク分離に必須の外部ファイアウォールが必要となります。
このページの見出し