Udostępnij za pośrednictwem

Najlepsze rozwiązania dotyczące zabezpieczeń, zgodności & prywatności

  • Artykuł

Najlepsze rozwiązania dotyczące zabezpieczeń można znaleźć w centrum zabezpieczeń i zaufania usługi Databricks w obszarze Funkcje zabezpieczeń.

Aby uzyskać szczegółowe informacje, zobacz ten przewodnik do pobrania: Azure Databricks Security Best Practices and Threat Model.

W przypadku generowania sztucznej inteligencji usługa Databricks udostępnia akcję umożliwiającą zarządzanie zabezpieczeniami sztucznej inteligencji— databricks AI Security Framework (DASF).

W poniższych sekcjach wymieniono najlepsze rozwiązania, które można znaleźć w pliku PDF zgodnie z zasadami tego filaru.

1. Zarządzanie tożsamościami i dostępem przy użyciu najniższych uprawnień

  • Konfigurowanie logowania jednokrotnego i ujednoliconego logowania.
  • Użyj uwierzytelniania wieloskładnikowego.
  • Oddziel konta administratora od zwykłych kont użytkowników.
  • Użyj zarządzania tokenami.
  • Synchronizacja SCIM użytkowników i grup.
  • Ogranicz prawa tworzenia klastra.
  • Bezpieczne przechowywanie i używanie wpisów tajnych.
  • Konfiguracja roli zarządzanie dostępem i tożsamościami między kontami.
  • Logowanie do obszaru roboczego zatwierdzonego przez klienta.
  • Użyj klastrów obsługujących izolację użytkowników.
  • Użyj jednostek usługi do uruchamiania zadań produkcyjnych.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.

2. Ochrona danych przesyłanych i magazynowanych

  • Unikaj przechowywania danych produkcyjnych w systemie plików DBFS.
  • Bezpieczny dostęp do magazynu w chmurze.
  • Użyj ustawień eksfiltracji danych w konsoli administracyjnej.
  • Użyj przechowywania wersji zasobnika.
  • Szyfrowanie magazynu i ograniczanie dostępu.
  • Dodaj klucz zarządzany przez klienta dla usług zarządzanych.
  • Dodaj klucz zarządzany przez klienta dla magazynu obszarów roboczych.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.

3. Zabezpieczanie sieci oraz identyfikowanie i ochrona punktów końcowych

  • Wdrażanie za pomocą zarządzanego przez klienta VPC lub sieci wirtualnej.
  • Użyj list dostępu do adresów IP.
  • Zaimplementuj zabezpieczenia eksfiltracji sieci.
  • Stosowanie kontrolek usługi VPC.
  • Użyj zasad punktu końcowego VPC.
  • Konfigurowanie usługi PrivateLink.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.

4. Przegląd modelu wspólnej odpowiedzialności

  • Przejrzyj model wspólnej odpowiedzialności.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.

5. Spełnianie wymagań dotyczących zgodności i prywatności danych

  • Przejrzyj standardy zgodności usługi Databricks.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.

6. Monitorowanie zabezpieczeń systemu

  • Użyj dostarczania dziennika inspekcji usługi Databricks.
  • Skonfiguruj tagowanie, aby monitorować użycie i włączać obciążenie zwrotne.
  • Monitorowanie obszaru roboczego przy użyciu aplikacji Overwatch.
  • Monitorowanie działań związanych z aprowizowaniem.
  • Użyj profilu zabezpieczeń rozszerzonego monitorowania zabezpieczeń lub profilu zabezpieczeń zgodności.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.

Kontrolki ogólne

  • Limity przydziału usługi.
  • Kontrolowanie bibliotek.
  • Izolowanie poufnych obciążeń do różnych obszarów roboczych.
  • Użyj procesów ciągłej integracji/ciągłego wdrażania, aby skanować kod pod kątem zakodowanych wpisów tajnych.

Szczegóły znajdują się w pliku PDF, do których odwołuje się na początku tego artykułu.