Amazon
Web Services
Microsoft Azure
Google Cloud Platformサーバレス エグレス コントロールとは
プレビュー
この機能はパブリックプレビュー段階です。
この記事では、サーバレス Egress Control を使用して、サーバレス コンピュート リソースからの送信ネットワーク接続を管理する方法について説明します。
サーバレス エグレス コントロールは、サーバレス ワークロードからの送信接続を管理できるようにすることでセキュリティ体制を強化し、データ流出のリスクを軽減します。
ネットワーク ポリシーを使用すると、次のことができます。
デフォルトで拒否する体制を適用する: インターネット、クラウドストレージ、Databricks API 接続に対してデフォルトで拒否ポリシーを有効にすることで、送信アクセスをきめ細かく制御します。
管理の簡素化: 複数のサーバレス製品にわたるすべてのサーバレスワークロードに対して、一貫したエグレス制御体制を定義します。
大規模での管理が簡単: 複数のワークスペース間でポスチャを一元管理し、 Databricks アカウントに対してデフォルト ポリシーを適用します。
Safely rollout ポリシー: 新しいポリシーの効果をログ専用モードで評価することで、リスクを軽減してから完全に適用できます。
このプレビューでは、ノートブック、ワークフロー、 SQLウェアハウス、 Delta Live Tables パイプライン、 Mosaic AI Model Serving、レイクハウスモニタリング、 Databricks Apps (限定的なサポート) のサーバレス製品がサポートされています。
注:
ワークスペースでエグレス制限を有効にすると、Databricks Apps が承認されていないリソースにアクセスするのを防ぐことができます。 ただし、エグレス制限を実装すると、アプリケーションの機能に影響を与える可能性があります。
ネットワーク ポリシーの概要
ネットワーク ポリシーは、Databricks アカウント レベルで適用される構成オブジェクトです。 1 つのネットワーク ポリシーを複数の Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにしかリンクできません。
Network ポリシー 関連付けられたワークスペース内のサーバレス ワークロードのネットワーク アクセス モードを定義します。 次の 2 つの主要なモードがあります。
フルアクセス: サーバレスワークロードは、インターネットおよびその他のネットワークリソースへの無制限のアウトバウンドアクセスを持ちます。
制限付きアクセス: 送信アクセスは、次のものに制限されています。
Unity Catalog の宛先: Unity Catalog 内で構成された場所と接続で、ワークスペースからアクセス可能なもの。
明示的に定義された宛先: FQDN と S3 バケットは、ネットワークポリシーにリストされます。
セキュリティ体制
ネットワーク ポリシーを制限付きアクセス モードに設定すると、サーバレス ワークロードからのアウトバウンド ネットワーク接続が厳密に制御されます。
挙動 |
詳細 |
|---|---|
デフォルトで送信接続を拒否する |
サーバレス ワークロードは、デフォルトによって許可された Unity Catalog ロケーションまたは接続を通じて設定された宛先、ポリシーで定義された FQDN またはストレージの場所、およびワークロードと同じワークスペースのワークスペース APIs にのみアクセスできます。 ワークスペース間のアクセスが拒否されます。 |
ストレージへの直接アクセスなし |
UDF およびノートブックのユーザー コードからの直接アクセスは禁止されています。 代わりに、Unity Catalog や DBFS マウントなどの Databricks 抽象化を使用します。 DBFS マウントを使用すると、ネットワーク ポリシーにリストされている S3 バケット内のデータに安全にアクセスできます。 |
暗黙的に許可された目的地 |
ワークスペースに関連付けられた S3 バケット、重要なシステムテーブル、およびサンプルデータセット (読み取り専用) にいつでもアクセスできます。 |
プライベートエンドポイントのポリシー適用 |
プライベートエンドポイント経由のアウトバウンドアクセスも、ネットワークポリシーで定義されたルールの対象となります。 宛先は、 Unity Catalog またはポリシー内にリストされている必要があります。 これにより、すべてのネットワークアクセス方法で一貫したセキュリティの適用が保証されます。 |