你好,
徹底調查訪問的最佳安全實踐磚WEB UI。我有懷疑的區別保護WEB UI (1) IP訪問列表(https://learn.microsoft.com/en-us/azure/databricks/security/network/ip-access-list)或(2)禁用公共訪問(訪問由私人鏈接在前麵)。
產生懷疑,因為在這兩種選擇Web UI暴露在互聯網(公共IP)和似乎應用相同的“防火牆”兩個選項。我們想知道如果兩個選項之間唯一的區別是,在第二,唯一的IP允許(類似與一個單一的IP配置IP訪問列表中,沒有能力改變)來訪問WEB UI是私人的私有IP端點(前麵)。
簡而言之,它是相同的配置隻有私人的IP終端IP訪問列表和禁用公共訪問嗎?
注意:為後端連接我們沒有懷疑的好處之間的連接的安全數據麵板和控製麵板。
謝謝,
“簡而言之,它是相同的配置隻有私人的IP端點的IP訪問列表和禁用公共訪問嗎?”
並不適用於訪問列表私人“誘導多能性”,公共IP(因特網)。相關部分的文檔:
“如果你使用PrivateLink,注意,IP訪問列表僅適用於請求在互聯網上(公共IP地址)。私有IP地址從PrivateLink交通不能被IP訪問列表。阻止特定的私有IP地址PrivateLink流量,使用AWS網絡防火牆”。
一個經驗法則:公共ip隻能連接到公共端點,私人IPs隻能連接到私人端點。
最“安全”的方式隻有通過私人訪問工作區鏈接(您的私人端點),但記住,這隻是你的私人網絡安全。你應該確定所有來源,需要訪問您的工作區(最終用戶、devops代理SCIM服務,其他服務),試著將它們注入你的私人網絡盡可能多。
在某些情況下,你可能仍然需要公開公共端點,因為一些服務/交通隻有從互聯網(例如AAD SCIM供應或(公共)devops構建代理)。在這種情況下,你仍然需要應用訪問列表限製訪問盡可能多的(但是記住,你通常不能控製這些IPs,所以他們可能不時地改變)。
@Yelf,這是私人鏈接是如何工作的。一旦你讓私人聯係,per-workspace URL將會解決privatelink.workspace-url.azuredatabricks.net,
如果你是在你的私有網絡,你應該有一個私人DNS區域設置私有IP解析這個域名。否則(如果你使用公共DNS),它將解決不同的URL(,反過來,將解決公共IP)。
所以:
“簡而言之,它是相同的配置隻有私人的IP端點的IP訪問列表和禁用公共訪問嗎?”
並不適用於訪問列表私人“誘導多能性”,公共IP(因特網)。相關部分的文檔:
“如果你使用PrivateLink,注意,IP訪問列表僅適用於請求在互聯網上(公共IP地址)。私有IP地址從PrivateLink交通不能被IP訪問列表。阻止特定的私有IP地址PrivateLink流量,使用AWS網絡防火牆”。
一個經驗法則:公共ip隻能連接到公共端點,私人IPs隻能連接到私人端點。
最“安全”的方式隻有通過私人訪問工作區鏈接(您的私人端點),但記住,這隻是你的私人網絡安全。你應該確定所有來源,需要訪問您的工作區(最終用戶、devops代理SCIM服務,其他服務),試著將它們注入你的私人網絡盡可能多。
在某些情況下,你可能仍然需要公開公共端點,因為一些服務/交通隻有從互聯網(例如AAD SCIM供應或(公共)devops構建代理)。在這種情況下,你仍然需要應用訪問列表限製訪問盡可能多的(但是記住,你通常不能控製這些IPs,所以他們可能不時地改變)。