Databricks ネットワーキングのユーザー
このガイドでは、ユーザーと Databricks ワークスペース間のネットワーク アクセスをカスタマイズする機能について説明します。
ユーザーから Databricks へのネットワークをカスタマイズする理由
デフォルトでは、ユーザーとアプリケーションは任意の IP アドレスから Databricks に接続できます。 ユーザーは、 Databricksを使用して重要なデータソースにアクセスする場合があります。 フィッシングなどの攻撃によってユーザーの認証情報が侵害された場合、ネットワークアクセスを保護することで、アカウントが乗っ取られるリスクが大幅に軽減されます。 プライベート接続、IPアクセスリスト、ファイアウォールなどの構成により、重要なデータを安全に保つことができます。
また、認証およびアクセス制御機能を設定して、ユーザーの資格情報を保護することもできます ( 「認証とアクセス制御」を参照)。
Databricks の安全なネットワーク機能を利用するユーザーには 、Enterprise プランが必要です。
プライベート接続
Databricks ユーザーとコントロール プレーンの間では、PrivateLink は受信要求のソースを制限する強力な制御を提供します。 組織が AWS 環境を介してトラフィックをルーティングする場合は、PrivateLink を使用して、ユーザーと Databricks コントロールプレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。 「 Databricks へのプライベート接続を構成する」を参照してください。
IP アクセス リスト
認証はユーザーの ID を証明しますが、ユーザーのネットワークの場所を強制するものではありません。 セキュリティで保護されていないネットワークからクラウドサービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを許可されている場合、セキュリティ上のリスクが生じます。 IP アクセス リストを使用すると、ユーザーがセキュリティで保護された境界を持つ既存のネットワーク経由でのみサービスに接続できるように、Databricks ワークスペースを構成できます。
管理者は、Databricks へのアクセスを許可する IP アドレスを指定できます。 また、ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「 IP アクセス リストの管理」を参照してください。
また、PrivateLink を使用して、Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。
ファイアウォールルール
多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックしています。 Databricks リソースへのアクセスを確保するには、Databricks ドメイン名のリストを許可する必要があります。 詳細については、「 ドメイン名ファイアウォール規則の構成」を参照してください。
Databricks は、ホスト ヘッダーの検証も実行して、要求が .cloud.databricks.com などの承認された Databricks ドメインを使用していることを確認します。 Databricks ネットワークの外部にあるドメインを使用する要求はブロックされます。 このセキュリティ対策は、潜在的な HTTP ホスト ヘッダー攻撃から保護します。