Pular para o conteúdo principal
Última atualização em

Segurança gerenciada

Segurança gerenciada é a arquitetura de rede de linha de base. Ele implanta Databricks em sua própria VPC com SCC habilitado por default no compute Classic. É possível adicionar opcionalmente o PrivateLink clássico para conectividade privada do plano de controle.

nota

Ao contrário da conectividade reforçada e do ambiente isolado, a segurança gerenciada não exige o Plano Databricks Enterprise. A habilitação do PrivateLink opcional de plano de compute clássico é a única configuração que exige esta camada.

A Databricks testa a plataforma com testes anuais de penetração de terceiros e um programa público de recompensa por bugs. Consulte o Adendo de segurança da Databricks.

Esta configuração tem:

  • Seguro por default : o Databricks habilita o SCC, a criptografia em trânsito e o acesso autenticado ao workspace por default.
  • Conectividade de plano de controle privado opcional: Adicione o PrivateLink do plano de compute clássico para rotear o tráfego do compute clássico para o plano de controle do Databricks por uma rede privada. Requer o Plano Databricks Enterprise.
  • Rede gerenciada pelo cliente : Implantação na sua própria VPC para controle de intervalos de IP, roteamento e grupos de segurança.
  • Compute serverless : Use SQL warehouses serverless e compute serverless para notebooks e jobs.

Utilize esta configuração quando:

  • Comece a usar a Databricks pela primeira vez.
  • Execução de cargas de trabalho não regulamentadas sem requisitos rigorosos de isolamento de rede.
  • Priorizando a simplicidade operacional em detrimento de controles de rede personalizados
  • Usando compute serverless como a principal opção de compute.

Componentes obrigatórios

Entrada

Acesso ao workspace utiliza identidade e autenticação padrão. Para um controle de linha de base adicional, configure uma política de entrada baseada em contexto para restringir o acesso ao workspace e à API às redes da sua organização, como VPNs corporativas, intervalos de IP de escritório e identidades. Isso adiciona defesa em profundidade sem exigir conectividade privada.

Consulte Controle de entrada baseado em contexto.

Saída

O acesso a dados é regido pelo Unity Catalog. Consulte O que é Unity Catalog?. Para um controle de linha de base adicional, pode-se, opcionalmente, implantar um firewall externo para inspecionar a saída clássica do compute.

Ícone do Shield Firewall externo (opcional)

A saída de compute clássico deve ser encaminhada por meio de um firewall externo para inspeção, registro em log e aplicação de políticas. Obrigatório em ambiente isolado; opcional aqui.

As opções incluem AWS Network Firewall (serviço gerenciado, integrado com o roteamento da AWS) ou um appliance de terceiros como Palo Alto integrado com o Gateway Load Balancer.

atenção

Databricks control plane and SCC relay connections use TLS with certificate pinning. Do not enable TLS inspection (decrypt and re-encrypt) on traffic between your clusters and the Databricks control plane. Doing so causes cluster failures. See IP addresses and domains for Databricks services and assets for required endpoints.

Compute clássico

Ao usar o compute clássico, a segurança gerenciada aplica os seguintes controles por default:

Ícone de marca de seleção do Shield. Conectividade de cluster segura

Elimina endereços IP públicos nos nós do cluster. Habilitado por padrão, sem a necessidade de configuração adicional.

Consulte Rede do plano de compute clássico.

Ícone de informações. VPC gerenciada pelo cliente

Implante o Databricks em sua própria rede virtual para ter controle sobre os intervalos de endereços IP, roteamento e grupos de segurança. Necessário para o PrivateLink clássico.

Consulte Configurar uma VPC gerenciada pelo cliente.

O seguinte controle é opcional.

Ícone do link. Classic compute plane PrivateLink (opcional)

Fornece conectividade privada entre sua VPC e o plano de controle do Databricks. O tráfego da API REST e de retransmissão SCC entre clusters e o plano de controle permanece privado em vez de usar a internet pública. Requer o plano Databricks Enterprise e não está habilitado por default.

Consulte Configurar conectividade privada clássica ao Databricks.

Para outros controles de segurança (não de rede), incluindo criptografia, consulte Segurança e compliance.

Caminhos de atualização

    • Conectividade reforçada
    • Se precisar de controles de acesso ao workspace baseados em IP, controles de saída serverless, endpoints de VPC para acesso a serviços de cloud ou um firewall externo opcional para inspeção de saída.
    • Ambiente isolado
    • Se for necessário acesso privado ao workspace (por VPN ou PrivateLink de entrada) e um firewall externo obrigatório para isolamento de rede de ponta a ponta.
Nesta página