ユーザーから Databricks へのネットワーキング
このガイドでは、ユーザーと Databricks ワークスペース間のネットワーク アクセスをカスタマイズする機能について説明します。
ユーザーから Databricks までネットワークをカスタマイズする理由は何ですか?
既定では、ユーザーとアプリケーションは任意の IP アドレスから Databricks に接続できます。 ユーザーは、Databricks を使用して重要なデータソースにアクセスできます。 フィッシングなどの攻撃によってユーザーの認証情報が侵害された場合、ネットワークアクセスを保護することで、アカウント乗っ取りのリスクを大幅に軽減できます。 プライベート接続、IPアクセスリスト、ファイアウォールなどの構成により、重要なデータを安全に保つことができます。
また、ユーザーの資格情報を保護するために認証およびアクセス制御機能を構成することもできます ( 「認証とアクセス制御」を参照)。
注:
Databricks のセキュリティで保護されたネットワーク機能を利用するユーザーには 、Premium プランが必要です。
プライベート接続
Databricks ユーザーとコントロール プレーンの間で、Private サービス Connect は、受信要求のソースを制限する強力な制御を提供します。 組織が GCP 環境を介してトラフィックをルーティングする場合は、プライベート サービス接続を使用して、ユーザーと Databricks コントロール プレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。 「 Databricks へのプライベート接続を構成する」を参照してください。
IPアクセスリスト
認証はユーザーの身元を証明しますが、ユーザーのネットワークの場所は強制されません。 セキュリティで保護されていないネットワークからクラウド サービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを承認している場合に、セキュリティ上のリスクが生じます。 IP アクセス リストを使用すると、ユーザーがセキュリティで保護された境界を持つ既存のネットワークを介してのみサービスに接続するように Databricks ワークスペースを構成できます。
管理者は、Databricks へのアクセスを許可する IP アドレスを指定できます。 また、ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「 IP アクセス リストの管理」を参照してください。
また、プライベート サービス Connect を使用して、Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。
ファイアウォール ルール
多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックしています。 Databricks リソースへのアクセスを確保するには、Databricks ドメイン名をリストに登録する必要があります。 詳細については、「 ドメイン名ファイアウォール規則の構成」を参照してください。
Databricks は、パブリック接続とプライベート接続の両方に対してホスト ヘッダー検証を実行し、要求が目的のホストから発信されたことを確認します。 これにより、潜在的な HTTP ホスト ヘッダー攻撃から保護されます。