Azure Databricks とセキュリティ
Azure Databricks は、Azure クラウド サービス用に最適化された Data Analytics プラットフォームです。 これは、データ集中型アプリケーションを開発するための次の 3 つの環境を提供しています。
Azure Databricks がビッグ データ分析のセキュリティ向上にどのように役立つかについては、Azure Databricks の概念に関するページを参照してください。
以下のセクションでは、Azure Databricks に特有の設計上の検討事項、構成チェックリスト、および推奨される構成オプションについて説明します。
設計上の考慮事項
既定では、すべてのユーザーのノートブックとノートブックの結果は保存時に暗号化されます。 他の要件がある場合は、カスタマー マネージド キーをノートブックに使用することを検討してください。
チェック リスト
セキュリティを考慮して Azure Databricks を構成できていますか?
- Microsoft Entra ID 資格情報パススルー を使用して、Azure Data Lake Storage と通信するときにサービス プリンシパルが必要にならないようにします。
- ワークスペース、コンピューティング、データをパブリック アクセスから隔離する。 適切なユーザーだけが、安全なチャンネルのみを通じてアクセスできるようにする。
- 分析用のクラウド ワークスペースには、適切に管理されたユーザーのみがアクセスできるようにする。
- Azure Private Link を導入する。
- 仮想マシンを制限および監視する。
- 動的 IP アクセス リストを使用して、管理者が企業ネットワークからのみワークスペースにアクセスできるようにする。
- VNet インジェクション機能を使用して、より安全なシナリオを実現する。
- 診断ログを使用してワークスペースのアクセスと権限を監査する。
- 安全なクラスター接続機能とハブ/スポーク アーキテクチャを使用して、クラスター ノードでポートを開いたり、パブリック IP アドレスを割り当てることを防ぐ。
構成に関する推奨事項
セキュリティ強化のために Azure Databricks 構成を最適化するための推薦事項について、以下の表で確認します。
| 推奨 | 説明 |
|---|---|
| 分析用のクラウド ワークスペースには、適切に管理されたユーザーのみがアクセスできるようにする。 | Microsoft Entra ID は、リモート アクセスのシングル サインオンを処理できます。 セキュリティを強化するには、条件付きアクセスに関するページを参照してください。 |
| Azure Private Link を導入する。 | プラットフォームのユーザー、ノートブック、およびクエリの処理を行うコンピューティング クラスター間のすべてのトラフィックが暗号化され、クラウド プロバイダーのネットワーク バックボーンを介して送信され、外部からアクセスできないようにします。 |
| 仮想マシンを制限および監視する。 | クエリを実行するクラスターでは、任意のパッケージがインストールされないように、SSH やネットワークへのアクセスを制限する必要があります。 クラスターでは、定期的に脆弱性をスキャンしたイメージのみを使用するようにしてください。 |
| VNet インジェクション機能を使用して、より安全なシナリオを実現する。 | (例: )。 - サービス エンドポイントを使用して他の Azure サービスに接続する。 - ユーザー定義ルートを活用してオンプレミスのデータ ソースに接続する。 - ネットワーク仮想アプライアンスに接続してすべての送信トラフィックを検査し、許可および拒否の規則に従ってアクションを実行する。 - カスタム DNS を使用する。 - 既存の仮想ネットワーク内に Azure Databricks クラスターをデプロイする。 |
| 診断ログを使用してワークスペースのアクセスと権限を監査する。 | 監査ログを使用して、ワークスペースでの特権アクティビティ、クラスターのサイズ変更、ファイル、クラスターで共有されているフォルダーを確認します。 |
ソース成果物
Azure Databricks のソース成果物には、エンタープライズ規模のデータ プラットフォームを保護するためのベスト プラクティスに関する、Databricks のブログが含まれています。