サーバレス エグレス コントロールとは
プレビュー
この機能は パブリック プレビュー段階です。
この記事では、サーバレス エグレスコントロール を使用して、サーバレス コンピュート リソースからの送信ネットワーク接続を管理する方法について説明します。
サーバレス エグレス コントロールは、サーバレス ワークロードからの送信接続を管理できるようにすることでセキュリティ体制を強化し、データ流出のリスクを軽減します。
ネットワーク ポリシーを使用すると、次のことができます。
- デフォルトで拒否する体制を適用する : インターネット、クラウドストレージ、Databricks API 接続に対してデフォルトで拒否ポリシーを有効にすることで、送信アクセスをきめ細かく制御します。
- 管理の簡素化 : 複数のサーバレス製品にわたるすべてのサーバレスワークロードに対して、一貫したエグレス制御体制を定義します。
- 大規模での管理が簡単 : 複数のワークスペース間でポスチャを一元管理し、 Databricks アカウントに対してデフォルト ポリシーを適用します。
- 安全なロールアウトポリシー : 完全な適用の前に、新しいポリシーをドライ実行モードで影響を評価することで、リスクを軽減します。
このプレビューでは、ノートブック、ワークフロー、 SQLウェアハウス、DLT パイプライン、 Mosaic AI Model Serving、レイクハウスモニタリング、およびサポートが制限されている Databricks Apps のサーバレス製品がサポートされています。
ワークスペースでエグレス制限を有効にすると、Databricks Apps が承認されていないリソースにアクセスするのを防ぐことができます。 ただし、エグレス制限を実装すると、アプリケーションの機能に影響を与える可能性があります。
ネットワーク ポリシーの概要
ネットワーク ポリシーは、Databricks アカウント レベルで適用される構成オブジェクトです。 1 つのネットワーク ポリシーを複数の Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにしかリンクできません。
Network ポリシー 関連付けられたワークスペース内のサーバレス ワークロードのネットワーク アクセス モードを定義します。 次の 2 つの主要なモードがあります。
- フルアクセス : サーバレスワークロードは、インターネットおよびその他のネットワークリソースへの無制限のアウトバウンドアクセスを持ちます。
- 制限付きアクセス : 送信アクセスは、次のものに制限されています。
- Unity Catalog の宛先: Unity Catalog 内で構成された場所と接続で、ワークスペースからアクセス可能なもの。
- 明示的に定義された宛先: FQDN と S3 バケットは、ネットワークポリシーにリストされます。
セキュリティ体制
ネットワーク ポリシーを制限付きアクセス モードに設定すると、サーバレス ワークロードからのアウトバウンド ネットワーク接続が厳密に制御されます。
挙動 | 詳細 |
|---|---|
デフォルトで送信接続を拒否する | サーバレス ワークロードは、デフォルトによって許可された Unity Catalog ロケーションまたは接続を通じて設定された宛先、ポリシーで定義された FQDN またはストレージの場所、およびワークロードと同じワークスペースのワークスペース API にのみアクセスできます。 ワークスペース間のアクセスが拒否されます。 |
ストレージへの直接アクセスなし | UDF およびノートブックのユーザー コードからの直接アクセスは禁止されています。 代わりに、Unity Catalog や DBFS マウントなどの Databricks 抽象化を使用します。 DBFS マウントを使用すると、ネットワーク ポリシーにリストされている S3 バケット内のデータに安全にアクセスできます。 |
暗黙的に許可された目的地 | ワークスペースに関連付けられた S3 バケット、重要なシステムテーブル、およびサンプルデータセット (読み取り専用) にいつでもアクセスできます。 |
プライベートエンドポイントのポリシー適用 | プライベートエンドポイント経由のアウトバウンドアクセスも、ネットワークポリシーで定義されたルールの対象となります。 宛先は、 Unity Catalog またはポリシー内にリストされている必要があります。 これにより、すべてのネットワークアクセス方法で一貫したセキュリティの適用が保証されます。 |