Udostępnij za pośrednictwem


Bezpieczeństwo i szyfrowanie danych

W tym artykule przedstawiono konfiguracje zabezpieczeń danych ułatwiające ochronę danych.

Aby uzyskać informacje na temat zabezpieczania dostępu do danych, zobacz Zarządzanie danymi za pomocą wykazu aparatu Unity.

Omówienie zabezpieczeń i szyfrowania danych

Usługa Azure Databricks udostępnia funkcje szyfrowania, które ułatwiają ochronę danych. Nie wszystkie funkcje zabezpieczeń są dostępne we wszystkich warstwach cenowych. Poniższa tabela zawiera omówienie funkcji i sposobu ich dopasowania do planów cenowych.

Funkcja Warstwa cenowa
Klucze zarządzane przez klienta do szyfrowania Premium
Szyfrowanie ruchu między węzłami roboczymi klastra Premium
Podwójne szyfrowanie dla głównego systemu plików DBFS Premium
Szyfrowanie zapytań, historii zapytań i wyników zapytań Premium

Włączanie kluczy zarządzanych przez klienta na potrzeby szyfrowania

Usługa Azure Databricks obsługuje dodawanie klucza zarządzanego przez klienta w celu ochrony i kontrolowania dostępu do danych. Usługa Azure Databricks obsługuje klucze zarządzane przez klienta z magazynów usługi Azure Key Vault i zarządzanych modułów zabezpieczeń sprzętowych usługi Azure Key Vault (HSM). Istnieją trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych:

  • Klucze zarządzane przez klienta dla dysków zarządzanych: obciążenia obliczeniowe usługi Azure Databricks w płaszczyźnie obliczeniowej przechowują dane tymczasowe na dyskach zarządzanych platformy Azure. Domyślnie dane przechowywane na zarządzanych dyskach są szyfrowane w spoczynku przy użyciu szyfrowania po stronie serwera za pomocą kluczy zarządzanych przez Microsoft. Możesz skonfigurować własny klucz dla obszaru roboczego usługi Azure Databricks do użycia na potrzeby szyfrowania dysków zarządzanych. Zobacz Klucze zarządzane przez klienta dla dysków zarządzanych platformy Azure.

  • Klucze zarządzane przez klienta dla usług zarządzanych: dane usług zarządzanych na płaszczyźnie sterowania usługi Azure Databricks są szyfrowane w spoczynku. Możesz dodać klucz zarządzany przez klienta dla usług zarządzanych, aby chronić i kontrolować dostęp do następujących typów zaszyfrowanych danych:

    • Pliki źródłowe notesu przechowywane na płaszczyźnie sterowania.
    • Wyniki notatnika dla notatników przechowywanych na płaszczyźnie kontroli.
    • Tajne wpisy przechowywane przez interfejsy API menedżera kluczy tajnych.
    • Zapytania SQL i historia zapytań usługi Databricks.
    • Osobiste tokeny dostępu lub inne poświadczenia używane do konfigurowania integracji usługi Git z folderami Usługi Git usługi Databricks.

    Zobacz Klucze zarządzane przez klienta dla usług zarządzanych.

  • Klucze zarządzane przez klienta dla głównego systemu plików DBFS: domyślnie konto magazynu jest szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Możesz skonfigurować własny klucz, aby zaszyfrować wszystkie dane na koncie magazynu obszaru roboczego. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.

Aby uzyskać więcej informacji na temat funkcji kluczy zarządzanych przez klienta w usłudze Azure Databricks chroniących różne typy danych, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.

Włączanie podwójnego szyfrowania dla systemu plików DBFS

System plików usługi Databricks (DBFS, Databricks File System) to rozproszony system plików zainstalowany w obszarze roboczym usługi Azure Databricks i dostępny w klastrach usługi Azure Databricks. System plików DBFS jest implementowany jako konto magazynu w zarządzanej grupie zasobów obszaru roboczego usługi Azure Databricks. Domyślna lokalizacja w systemie DBFS jest znana jako katalog główny systemu plików DBFS.

Usługa Azure Storage automatycznie szyfruje wszystkie dane na koncie magazynu, w tym magazyn główny DBFS. Opcjonalnie możesz włączyć szyfrowanie na poziomie infrastruktury usługi Azure Storage. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwukrotnie, raz na poziomie usługi i raz na poziomie infrastruktury, przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. Aby dowiedzieć się więcej na temat wdrażania obszaru roboczego z szyfrowaniem infrastruktury, zobacz sekcję Konfigurowanie podwójnego szyfrowania dla katalogu głównego DBFS.

Szyfrowanie zapytań, historii zapytań i wyników zapytań

Możesz użyć własnego klucza z usługi Azure Key Vault do szyfrowania zapytań SQL usługi Databricks i historii zapytań przechowywanych na płaszczyźnie sterowania usługi Azure Databricks. Aby uzyskać więcej informacji, zobacz sekcję Szyfrowanie zapytań, historii zapytań i wyników zapytań

Szyfrowanie ruchu między węzłami procesu roboczego klastra

Zapytania i przekształcenia użytkowników są zazwyczaj wysyłane do klastrów za pośrednictwem zaszyfrowanego kanału. Domyślnie jednak dane wymieniane pomiędzy węzłami roboczymi w klastrze nie są szyfrowane. Jeśli Twoje środowisko wymaga, aby dane były przez cały czas szyfrowane, zarówno w spoczynku, jak i podczas przesyłania, możesz utworzyć skrypt init, który skonfiguruje klastry tak, aby szyfrowały ruch między węzłami roboczymi przy użyciu 128-bitowego szyfrowania AES w połączeniu TLS 1.2. Aby uzyskać więcej informacji, zobacz Szyfrowanie ruchu między węzłami procesu roboczego klastra.

Zarządzanie ustawieniami obszaru roboczego

Administratorzy obszarów roboczych usługi Azure Databricks mogą zarządzać ustawieniami zabezpieczeń obszaru roboczego, takimi jak możliwość pobierania notesów i wymuszania trybu dostępu klastra izolacji użytkownika. Aby uzyskać więcej informacji, zobacz Zarządzanie obszarem roboczym.