Segurança e criptografia de dados
Esse artigo apresenta configurações de segurança de dados para ajudar a proteger seus dados.
Para obter informações sobre como proteger o acesso aos seus dados, consulte Governança de dados com o Catálogo do Unity.
Visão geral da segurança e criptografia de dados
O Azure Databricks fornece recursos de criptografia para ajudar a proteger seus dados. Nem todos os recursos de segurança estão disponíveis em todos os tipos de preço. A tabela a seguir contém uma visão geral dos recursos e como eles se alinham aos planos de preços.
| Recurso | Tipo de preço |
|---|---|
| Chaves gerenciadas pelo cliente para criptografia | Premium |
| Criptografar o tráfego entre nós de trabalho do cluster | Premium |
| Criptografia dupla da raiz DBFS | Premium |
| Criptografar consultas, histórico de consultas e resultados da consulta | Premium |
Habilitar chaves gerenciadas pelo cliente para criptografia
O Azure Databricks dá suporte à adição de uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. O Azure Databricks oferece suporte a chaves gerenciadas pelo cliente dos cofres do Azure Key Vault e Módulos de Segurança de Hardware Gerenciados (HSMs) do Azure Key Vault. Existem três recursos de chave gerenciada pelo cliente para diferentes tipos de dados:
Chaves gerenciadas pelo cliente para discos gerenciados: as cargas de trabalho de computação do Azure Databricks no plano de dados armazenam dados temporários nos discos gerenciados do Azure. Por padrão, os dados armazenados em discos gerenciados são criptografados em repouso usando a criptografia do lado do servidor com chaves gerenciadas pela Microsoft. Você pode configurar sua própria chave para seu workspace do Azure Databricks a ser usado para criptografia de disco gerenciado. Consulte Chaves gerenciadas pelo cliente para discos gerenciados do Azure.
Chaves gerenciadas pelo cliente para serviços gerenciados: os dados de serviços gerenciados no painel de controle do Azure Databricks são criptografados em repouso. É possível adicionar uma chave gerenciada pelo cliente para serviços gerenciados a fim de ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Arquivos de origem do notebook armazenados no painel de controle.
- Resultados do notebook para notebooks armazenados no plano de controle.
- Segredos armazenados pelas APIs do gerenciador de segredos.
- Consultas e histórico de consultas do SQL do Databricks.
- Tokens de acesso pessoal ou outras credenciais usadas para configurar a integração do Git com as pastas Git do Databricks.
Confira Chaves gerenciadas pelo cliente para serviços gerenciados.
Chaves gerenciadas pelo cliente para a raiz do DBFS: por padrão, a conta de armazenamento é criptografada com chaves gerenciadas pela Microsoft. Você pode configurar sua própria chave para criptografar todos os dados na conta de armazenamento do workspace. Para obter mais informações, consulte Chaves gerenciadas pelo cliente para raiz do DBFS.
Para obter mais detalhes sobre quais recursos de chave gerenciada pelo cliente no Azure Databricks protegem tipos diferentes de dados, confira Chaves gerenciadas pelo cliente para criptografia.
Habilitar criptografia dupla para DBFS
O DBFS (Databricks File System) é um sistema de arquivos distribuído montado em um workspace do Azure Databricks e disponível em clusters do Azure Databricks. O DBFS é implementado como uma conta de armazenamento no grupo de recursos gerenciados do seu workspace do Azure Databricks. O local padrão no DBFS é conhecido como a raiz DBFS.
O Armazenamento do Microsoft Azure criptografa automaticamente todos os dados em uma conta de armazenamento, incluindo o armazenamento raiz do DBFS. Opcionalmente, você pode habilitar a criptografia no nível da infraestrutura do Armazenamento do Microsoft Azure. Quando a criptografia dupla está habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma no nível do serviço e outra no nível da infraestrutura, com dois algoritmos de criptografia diferentes e duas chaves distintas. Para saber mais sobre como implantar um workspace com criptografia de infraestrutura, confira Configurar criptografia dupla para a raiz do DBFS.
Criptografar consultas, histórico de consultas e resultados da consulta
Você pode usar sua própria chave do Azure Key Vault para criptografar as consultas do Databricks SQL e seu histórico de consultas armazenado no painel de controle do Azure Databricks. Para mais detalhes, veja Criptografar consultas, histórico de consultas e resultados de consultas
Criptografar o tráfego entre nós de trabalho do cluster
Consultas e transformações de usuário normalmente são enviadas aos seus clusters por um canal criptografado. No entanto, os dados trocados entre nós de trabalho em um cluster não são criptografados por padrão. Se seu ambiente exigir que os dados sejam criptografados em todos os momentos, em repouso ou em trânsito, você poderá criar um script de inicialização que configure seus clusters para criptografar o tráfego entre nós de trabalho, usando criptografia AES de 128 bits em uma conexão TLS 1.2. Para obter mais informações, confira Criptografar o tráfego entre nós de trabalho do cluster.
Gerenciar as configurações do workspace
Os administradores do espaço de trabalho do Azure Databricks podem gerenciar as configurações de segurança do espaço de trabalho, como a capacidade de baixar notebooks e impor o modo de acesso do cluster de isolamento do usuário. Para mais informações, consulte Gerenciar seu workspace.