Azure Databricks a zabezpečení
Azure Databricks je platforma pro analýzu dat optimalizovaná pro cloudové služby Azure. Nabízí tři prostředí pro vývoj aplikací náročných na data:
Další informace o tom, jak Azure Databricks zlepšuje zabezpečení analýz velkých objemů dat, najdete v referenčních konceptech Azure Databricks.
Následující části zahrnují aspekty návrhu, kontrolní seznam konfigurace a doporučené možnosti konfigurace specifické pro Azure Databricks.
Aspekty návrhu
Všechny uživatelské poznámkové bloky a výsledky poznámkového bloku jsou ve výchozím nastavení zašifrované v klidovém stavu. Pokud jsou splněné další požadavky, zvažte použití klíčů spravovaných zákazníkem pro poznámkové bloky.
Kontrolní seznam
Nakonfigurovali jste Službu Azure Databricks s ohledem na zabezpečení?
- Pokud chcete zabránit nutnosti instančních objektů při komunikaci se službou Azure Data Lake Storage, použijte předávání přihlašovacích údajů Microsoft Entra ID.
- Izolujte pracovní prostory, výpočetní prostředky a data od veřejného přístupu. Ujistěte se, že přístup mají jenom ti správní lidé a pouze prostřednictvím zabezpečených kanálů.
- Ujistěte se, že cloudové pracovní prostory pro vaši analýzu jsou přístupné jenom správně spravovaným uživatelům.
- Implementace služby Azure Private Link
- Omezte a monitorujte virtuální počítače.
- Seznamy přístupu pomocí dynamických IP adres umožňují správcům přístup k pracovním prostorům pouze ze svých podnikových sítí.
- Pomocí funkce injektáže virtuální sítě povolte bezpečnější scénáře.
- Pomocí diagnostických protokolů můžete auditovat přístup k pracovnímu prostoru a oprávnění.
- Zvažte použití funkce zabezpečeného připojení clusteru a hvězdicové architektury , abyste zabránili otevírání portů a přiřazování veřejných IP adres na uzlech clusteru.
Doporučení pro konfiguraci
Projděte si následující tabulku doporučení pro optimalizaci konfigurace Azure Databricks pro zabezpečení:
| Doporučení | Popis |
|---|---|
| Ujistěte se, že cloudové pracovní prostory pro vaši analýzu jsou přístupné jenom správně spravovaným uživatelům. | Id Microsoft Entra může zpracovávat jednotné přihlašování pro vzdálený přístup. Pokud potřebujete další zabezpečení, použijte podmíněný přístup. |
| Implementace služby Azure Private Link | Zajistěte, aby veškerý provoz mezi uživateli vaší platformy, poznámkovými bloky a výpočetními clustery, které zpracovávají dotazy, byly šifrované a přenášené přes páteřní síť poskytovatele cloudu, nepřístupné vnějšímu světu. |
| Omezte a monitorujte virtuální počítače. | Clustery, které provádějí dotazy, by měly mít omezený přístup SSH a sítě, aby se zabránilo instalaci libovolných balíčků. Clustery by měly používat jenom image, které se pravidelně prohledávají kvůli ohrožením zabezpečení. |
| Pomocí funkce injektáže virtuální sítě povolte bezpečnější scénáře. | Například: – Připojení do jiných služeb Azure pomocí koncových bodů služby. – Připojení k místním zdrojům dat s využitím tras definovaných uživatelem. – Připojení k síťovému virtuálnímu zařízení, které kontroluje veškerý odchozí provoz a provádí akce podle pravidel povolení a zamítnutí. – Použití vlastního DNS. – Nasazení clusterů Azure Databricks ve stávajících virtuálních sítích |
| Pomocí diagnostických protokolů můžete auditovat přístup k pracovnímu prostoru a oprávnění. | Protokoly auditu slouží k zobrazení privilegované aktivity v pracovním prostoru, změně velikosti clusteru, souborů a složek sdílených v clusteru. |
Zdrojové artefakty
Mezi zdrojové artefakty Azure Databricks patří blog Databricks: Osvědčené postupy pro zabezpečení datové platformy na podnikové úrovni.