Azure Databricks i zabezpieczenia
Azure Databricks to platforma analizy danych zoptymalizowana pod kątem usług w chmurze platformy Azure. Oferuje trzy środowiska do tworzenia aplikacji intensywnie korzystających z danych:
Aby dowiedzieć się więcej na temat zwiększania bezpieczeństwa analizy danych big data w usłudze Azure Databricks, zapoznaj się z pojęciami dotyczącymi usługi Azure Databricks.
W poniższych sekcjach opisano zagadnienia dotyczące projektowania, listę kontrolną konfiguracji i zalecane opcje konfiguracji specyficzne dla usługi Azure Databricks.
Uwagi dotyczące projektowania
Wszystkie notesy i wyniki notesu użytkowników są domyślnie szyfrowane w spoczynku. Jeśli obowiązują inne wymagania, rozważ użycie kluczy zarządzanych przez klienta dla notesów.
Lista kontrolna
Czy skonfigurowano usługę Azure Databricks z uwzględnieniem zabezpieczeń?
- Użyj przekazywania poświadczeń identyfikatora entra firmy Microsoft, aby uniknąć konieczności stosowania jednostek usługi podczas komunikacji z usługą Azure Data Lake Storage.
- Izolowanie obszarów roboczych, zasobów obliczeniowych i danych z dostępu publicznego. Upewnij się, że tylko odpowiednie osoby mają dostęp i tylko za pośrednictwem bezpiecznych kanałów.
- Upewnij się, że obszary robocze w chmurze na potrzeby analizy są dostępne tylko dla prawidłowo zarządzanych użytkowników.
- Zaimplementuj usługę Azure Private Link.
- Ogranicz i monitoruj maszyny wirtualne.
- Użyj dynamicznych list dostępu do adresów IP, aby umożliwić administratorom dostęp do obszarów roboczych tylko z sieci firmowych.
- Użyj funkcji iniekcji sieci wirtualnej, aby umożliwić bezpieczniejsze scenariusze.
- Użyj dzienników diagnostycznych, aby przeprowadzić inspekcję dostępu i uprawnień obszaru roboczego.
- Rozważ użycie funkcji bezpiecznej łączności klastra i architektury piasty/szprychy, aby zapobiec otwieraniu portów i przypisaniu publicznych adresów IP w węzłach klastra.
Zalecenia dotyczące konfiguracji
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Azure Databricks pod kątem zabezpieczeń:
Zalecenie | opis |
---|---|
Upewnij się, że obszary robocze w chmurze na potrzeby analizy są dostępne tylko dla prawidłowo zarządzanych użytkowników. | Microsoft Entra ID może obsługiwać logowanie jednokrotne na potrzeby dostępu zdalnego. Aby uzyskać dodatkowe zabezpieczenia, zapoznaj się z tematem Dostęp warunkowy. |
Zaimplementuj usługę Azure Private Link. | Upewnij się, że cały ruch między użytkownikami platformy, notesami i klastrami obliczeniowymi, które przetwarzają zapytania, są szyfrowane i przesyłane za pośrednictwem sieci szkieletowej dostawcy usług w chmurze, niedostępne dla świata zewnętrznego. |
Ogranicz i monitoruj maszyny wirtualne. | Klastry, które wykonują zapytania, powinny mieć ograniczony dostęp SSH i dostęp sieciowy, aby zapobiec instalacji dowolnych pakietów. Klastry powinny używać tylko obrazów, które są okresowo skanowane pod kątem luk w zabezpieczeniach. |
Użyj funkcji iniekcji sieci wirtualnej, aby umożliwić bezpieczniejsze scenariusze. | Na przykład: — Połączenie do innych usług platformy Azure przy użyciu punktów końcowych usługi. — Połączenie do lokalnych źródeł danych, korzystając z tras zdefiniowanych przez użytkownika. — Połączenie do wirtualnego urządzenia sieciowego w celu sprawdzenia całego ruchu wychodzącego i podjęcia akcji zgodnie z regułami zezwalania i odmowy. — Używanie niestandardowego systemu DNS. — Wdrażanie klastrów usługi Azure Databricks w istniejących sieciach wirtualnych. |
Użyj dzienników diagnostycznych, aby przeprowadzić inspekcję dostępu i uprawnień obszaru roboczego. | Dzienniki inspekcji umożliwiają wyświetlanie działań uprzywilejowanych w obszarze roboczym, zmiany rozmiaru klastra, plików i folderów udostępnionych w klastrze. |
Artefakty źródłowe
Artefakty źródłowe usługi Azure Databricks obejmują blog usługi Databricks: Najlepsze rozwiązania dotyczące zabezpieczania platformy danych w skali przedsiębiorstwa.