Udostępnij za pośrednictwem


Azure Databricks i zabezpieczenia

Azure Databricks to platforma analizy danych zoptymalizowana pod kątem usług w chmurze platformy Azure. Oferuje trzy środowiska do tworzenia aplikacji intensywnie korzystających z danych:

Aby dowiedzieć się więcej na temat zwiększania bezpieczeństwa analizy danych big data w usłudze Azure Databricks, zapoznaj się z pojęciami dotyczącymi usługi Azure Databricks.

W poniższych sekcjach opisano zagadnienia dotyczące projektowania, listę kontrolną konfiguracji i zalecane opcje konfiguracji specyficzne dla usługi Azure Databricks.

Uwagi dotyczące projektowania

Wszystkie notesy i wyniki notesu użytkowników są domyślnie szyfrowane w spoczynku. Jeśli obowiązują inne wymagania, rozważ użycie kluczy zarządzanych przez klienta dla notesów.

Lista kontrolna

Czy skonfigurowano usługę Azure Databricks z uwzględnieniem zabezpieczeń?


  • Użyj przekazywania poświadczeń identyfikatora entra firmy Microsoft, aby uniknąć konieczności stosowania jednostek usługi podczas komunikacji z usługą Azure Data Lake Storage.
  • Izolowanie obszarów roboczych, zasobów obliczeniowych i danych z dostępu publicznego. Upewnij się, że tylko odpowiednie osoby mają dostęp i tylko za pośrednictwem bezpiecznych kanałów.
  • Upewnij się, że obszary robocze w chmurze na potrzeby analizy są dostępne tylko dla prawidłowo zarządzanych użytkowników.
  • Zaimplementuj usługę Azure Private Link.
  • Ogranicz i monitoruj maszyny wirtualne.
  • Użyj dynamicznych list dostępu do adresów IP, aby umożliwić administratorom dostęp do obszarów roboczych tylko z sieci firmowych.
  • Użyj funkcji iniekcji sieci wirtualnej, aby umożliwić bezpieczniejsze scenariusze.
  • Użyj dzienników diagnostycznych, aby przeprowadzić inspekcję dostępu i uprawnień obszaru roboczego.
  • Rozważ użycie funkcji bezpiecznej łączności klastra i architektury piasty/szprychy, aby zapobiec otwieraniu portów i przypisaniu publicznych adresów IP w węzłach klastra.

Zalecenia dotyczące konfiguracji

Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację usługi Azure Databricks pod kątem zabezpieczeń:

Zalecenie opis
Upewnij się, że obszary robocze w chmurze na potrzeby analizy są dostępne tylko dla prawidłowo zarządzanych użytkowników. Microsoft Entra ID może obsługiwać logowanie jednokrotne na potrzeby dostępu zdalnego. Aby uzyskać dodatkowe zabezpieczenia, zapoznaj się z tematem Dostęp warunkowy.
Zaimplementuj usługę Azure Private Link. Upewnij się, że cały ruch między użytkownikami platformy, notesami i klastrami obliczeniowymi, które przetwarzają zapytania, są szyfrowane i przesyłane za pośrednictwem sieci szkieletowej dostawcy usług w chmurze, niedostępne dla świata zewnętrznego.
Ogranicz i monitoruj maszyny wirtualne. Klastry, które wykonują zapytania, powinny mieć ograniczony dostęp SSH i dostęp sieciowy, aby zapobiec instalacji dowolnych pakietów. Klastry powinny używać tylko obrazów, które są okresowo skanowane pod kątem luk w zabezpieczeniach.
Użyj funkcji iniekcji sieci wirtualnej, aby umożliwić bezpieczniejsze scenariusze. Na przykład:
— Połączenie do innych usług platformy Azure przy użyciu punktów końcowych usługi.
— Połączenie do lokalnych źródeł danych, korzystając z tras zdefiniowanych przez użytkownika.
— Połączenie do wirtualnego urządzenia sieciowego w celu sprawdzenia całego ruchu wychodzącego i podjęcia akcji zgodnie z regułami zezwalania i odmowy.
— Używanie niestandardowego systemu DNS.
— Wdrażanie klastrów usługi Azure Databricks w istniejących sieciach wirtualnych.
Użyj dzienników diagnostycznych, aby przeprowadzić inspekcję dostępu i uprawnień obszaru roboczego. Dzienniki inspekcji umożliwiają wyświetlanie działań uprzywilejowanych w obszarze roboczym, zmiany rozmiaru klastra, plików i folderów udostępnionych w klastrze.

Artefakty źródłowe

Artefakty źródłowe usługi Azure Databricks obejmują blog usługi Databricks: Najlepsze rozwiązania dotyczące zabezpieczania platformy danych w skali przedsiębiorstwa.

Następny krok