Ściągawka administracji platformą
Ten artykuł ma na celu przedstawienie jasnych i opinii wskazówek dla administratorów kont i obszarów roboczych dotyczących zalecanych najlepszych rozwiązań. Poniższe rozwiązania powinny być implementowane przez administratorów kont lub obszarów roboczych, aby pomóc w optymalizacji kosztów, możliwości obserwowania, ładu danych i zabezpieczeń na koncie usługi Azure Databricks.
Aby uzyskać szczegółowe rozwiązania w zakresie zabezpieczeń, zobacz ten dokument PDF: Azure Databricks Security Best Practices and Threat Model (Najlepsze rozwiązania i model zagrożeń w usłudze Azure Databricks).
| Najlepsze rozwiązanie | Wpływ | Dokumenty |
|---|---|---|
| Włączanie wykazu aparatu Unity | Nadzór nad danymi: usługa Unity Catalog zapewnia scentralizowaną kontrolę dostępu, inspekcję, pochodzenie i funkcje odnajdywania danych w obszarach roboczych usługi Azure Databricks. | - Konfigurowanie wykazu Unity i zarządzanie nim |
| Stosowanie tagów użycia | Obserwowalność: mieć dyskretne mapowanie użycia na odpowiednie kategorie. Przypisz i wymuś tagi dla jednostek biznesowych organizacji, określonych projektów oraz innych użytkowników i grup. | - Monitorowanie użycia w konsoli konta |
| Korzystanie z zasad klastra |
Koszt: kontrolowanie kosztów za pomocą automatycznego kończenia (w przypadku klastrów wszystkich celów), maksymalnego rozmiaru klastra i ograniczeń typu wystąpienia. Możliwość obserwowania: ustaw custom_tags w zasadach klastra, aby wymusić tagowanie.Zabezpieczenia: ogranicz tryb dostępu klastra, aby umożliwić użytkownikom tworzenie klastrów z obsługą wykazu aparatu Unity w celu wymuszania uprawnień do danych. |
-
Tworzenie zasad klastra i zarządzanie nimi - Monitorowanie użycia klastra przy użyciu tagów |
| Nawiązywanie połączenia z oprogramowaniem innych firm przy użyciu jednostek usługi |
Zabezpieczenia: jednostka usługi to typ tożsamości usługi Databricks, który umożliwia usługom innych firm uwierzytelnianie bezpośrednio w usłudze Databricks, a nie za pośrednictwem poświadczeń poszczególnych użytkowników. Jeśli coś się stanie z poświadczeniami poszczególnych użytkowników, usługa innej firmy nie zostanie przerwana. |
- Tworzenie jednostek usługi i zarządzanie nimi |
| Konfigurowanie integracji SCIM | Zabezpieczenia: Zamiast ręcznego dodawania użytkowników do usługi Databricks należy zintegrować z dostawcą tożsamości w celu zautomatyzowania aprowizacji i anulowania aprowizacji użytkowników. Gdy użytkownik zostanie usunięty z dostawcy tożsamości, zostanie on również automatycznie usunięty z usługi Databricks. | - Synchronizowanie użytkowników i grup od dostawcy tożsamości |
| Zarządzanie kontrolą dostępu za pomocą grup na poziomie konta |
Nadzór nad danymi: utwórz grupy na poziomie konta, aby można było zbiorczo kontrolować dostęp do obszarów roboczych, zasobów i danych. Pozwala to zaoszczędzić na konieczności udzielenia wszystkim użytkownikom dostępu do wszystkich elementów lub udzielenia poszczególnym użytkownikom określonych uprawnień. Grupy można również synchronizować z dostawcą tożsamości z grupami usługi Databricks. |
-
Zarządzanie grupami - Kontrola dostępu do zasobów - Synchronizowanie grup z dostawcy tożsamości do usługi Databricks - Przewodnik dotyczący ładu danych |
| Konfigurowanie dostępu do adresów IP na potrzeby umieszczania na liście dozwolonych adresów IP |
Zabezpieczenia: listy dostępu do adresów IP uniemożliwiają użytkownikom uzyskiwanie dostępu do zasobów usługi Azure Databricks w niezabezpieczonych sieciach. Uzyskiwanie dostępu do usługi w chmurze z niezabezpieczonej sieci może stanowić zagrożenie bezpieczeństwa dla przedsiębiorstwa, zwłaszcza gdy użytkownik może mieć autoryzowany dostęp do poufnych lub osobistych danych Upewnij się, że skonfigurowaliśmy listy dostępu do adresów IP dla konsoli konta i obszarów roboczych. |
-
Tworzenie list dostępu do adresów IP dla obszarów roboczych - Tworzenie list dostępu do adresów IP dla konsoli konta |
| Używanie wpisów tajnych usługi Databricks lub menedżera wpisów tajnych dostawcy usług w chmurze | Zabezpieczenia: używanie wpisów tajnych usługi Databricks umożliwia bezpieczne przechowywanie poświadczeń dla zewnętrznych źródeł danych. Zamiast wprowadzać poświadczenia bezpośrednio do notesu, możesz po prostu odwołać się do wpisu tajnego w celu uwierzytelnienia w źródle danych. | - Zarządzanie wpisami tajnymi usługi Databricks |
| Ustawianie dat wygaśnięcia osobistych tokenów dostępu (PAT) | Zabezpieczenia: Administratorzy obszaru roboczego mogą zarządzać punktami uprzywilejowanymi dla użytkowników, grup i jednostek usługi. Ustawienie dat wygaśnięcia dla paT zmniejsza ryzyko utraty tokenów lub długotrwałych tokenów, które mogą prowadzić do eksfiltracji danych z obszaru roboczego. | - Zarządzanie osobistymi tokenami dostępu |
| Używaj alertów budżetowych do monitorowania użycia | Obserwowalność: monitoruj użycie w oparciu o budżety ważne dla Twojej organizacji. Przykłady budżetu to: projekt, migracja, bu i budżety kwartalne lub roczne. | - Używanie budżetów do monitorowania wydatków na kontach |
| Monitorowanie użycia konta przy użyciu tabel systemowych | Możliwość obserwowania: Tabele systemowe to magazyn analityczny hostowany w usłudze Databricks danych operacyjnych konta, w tym dzienniki inspekcji, pochodzenie danych i rozliczane użycie. Tabele systemowe umożliwiają obserwowanie na koncie. | - Monitorowanie użycia za pomocą tabel systemowych |