Azure Databricks e segurança
O Azure Databricks é uma plataforma de análise de dados otimizada para os serviços de nuvem do Azure. Ele oferece três ambientes para o desenvolvimento de aplicativos com uso intensivo de dados:
Para saber mais sobre como o Azure Databricks melhora a segurança da análise de Big Data, consulte Conceitos do Azure Databricks.
As seções a seguir incluem considerações de design, uma lista de verificação de configuração e opções de configuração recomendadas específicas para o Azure Databricks.
Considerações sobre o design
Todos os notebooks e resultados do notebook de todos os usuários são criptografados em repouso, por padrão. Se outros requisitos estiverem em uso, considere o uso de chaves gerenciadas pelo cliente para notebooks.
Lista de Verificação
Você configurou o Azure Databricks pensando na segurança?
- Use a passagem de credenciais da ID do Microsoft Entra para evitar a necessidade de entidades de serviço ao se comunicar com o Armazenamento do Azure Data Lake.
- Isole seus workspaces, computação e dados do acesso público. Verifique apenas se as pessoas certas têm acesso e somente por meio de canais seguros.
- Verifique se os workspaces na nuvem para sua análise só podem ser acessados por usuários gerenciados corretamente.
- Implemente um Link Privado do Azure.
- Restrinja e monitore suas máquinas virtuais.
- Use listas de acesso IP dinâmico para permitir que os administradores acessem workspaces somente de suas redes corporativas.
- Use a funcionalidade de injeção de VNet para habilitar cenários mais seguros.
- Use logs de diagnóstico para auditar o acesso e as permissões do workspace.
- Considere usar o recurso de conectividade de cluster seguro e a arquitetura hub/spoke para impedir a abertura de portas e atribuir endereços IP públicos em nós de cluster.
Recomendações de configuração
Confira a seguinte tabela de recomendações para otimizar a configuração do Azure Databricks para segurança:
| Recomendação | Descrição |
|---|---|
| Verifique se os workspaces na nuvem para sua análise só podem ser acessados por usuários gerenciados corretamente. | O Microsoft Entra ID pode lidar com o logon único para acesso remoto. Para segurança adicional, consulte Acesso condicional. |
| Implemente um Link Privado do Azure. | Verifique se todo o tráfego entre os usuários da sua plataforma, os notebooks e os clusters de computação que processam consultas são criptografados e transmitidos pelo backbone de rede do provedor de nuvem, inacessíveis para o mundo exterior. |
| Restrinja e monitore suas máquinas virtuais. | Os clusters, que executam consultas, devem ter acesso SSH e de rede restrito para impedir a instalação de pacotes arbitrários. Os clusters devem usar apenas imagens que são examinadas periodicamente em busca de vulnerabilidades. |
| Use a funcionalidade de injeção de VNet para habilitar cenários mais seguros. | Como: - Conectar-se a outros serviços do Azure usando pontos de extremidade de serviço. - Conectar-se a fontes de dados locais aproveitando as rotas definidas pelo usuário. - Conectar a uma solução de virtualização de rede para inspecionar todo o tráfego de saída e realizar ações de acordo com as regras de permissão e negação. - Usar DNS personalizado. – Implantar clusters do Azure Databricks em redes virtuais existentes. |
| Use logs de diagnóstico para auditar o acesso e as permissões do workspace. | Use logs de auditoria para ver a atividade privilegiada em um workspace, o redimensionamento de cluster, os arquivos e as pastas compartilhados no cluster. |
Artefatos de origem
Os artefatos de origem do Azure Databricks incluem o blog do Databricks: Práticas recomendadas para proteger uma plataforma de dados de escala empresarial.