Partilhar via


Segurança e encriptação de dados

Este artigo apresenta configurações de segurança de dados para ajudar a proteger seus dados.

Para obter informações sobre como proteger o acesso aos seus dados, consulte Governança de dados com o Unity Catalog.

Visão geral da segurança e criptografia de dados

O Azure Databricks fornece recursos de criptografia para ajudar a proteger seus dados. Nem todos os recursos de segurança estão disponíveis em todos os níveis de preços. A tabela a seguir contém uma visão geral dos recursos e como eles se alinham aos planos de preços.

Caraterística Escalão de preço
Chaves geridas pelo cliente para encriptação Premium
Encriptar o tráfego entre os nós de trabalho do cluster Premium
Criptografia dupla para raiz DBFS Premium
Encriptar consultas, histórico de consultas e resultados de consultas Premium

Habilitar chaves gerenciadas pelo cliente para criptografia

O Azure Databricks suporta a adição de uma chave gerida pelo cliente para ajudar a proteger e controlar o acesso aos dados. O Azure Databricks dá suporte a chaves gerenciadas pelo cliente dos cofres do Azure Key Vault e dos HSMs (Managed Hardware Security Modules) do Azure Key Vault. Há três recursos principais gerenciados pelo cliente para diferentes tipos de dados:

  • Chaves gerenciadas pelo cliente para discos gerenciados: as cargas de trabalho de computação do Azure Databricks no plano de computação armazenam dados temporários em discos gerenciados do Azure. Por predefinição, os dados armazenados em discos geridos são encriptados em repouso utilizando a encriptação do lado do servidor com chaves geridas pela Microsoft. Você pode configurar sua própria chave para seu espaço de trabalho do Azure Databricks a ser usado para criptografia de disco gerenciado. Consulte Chaves gerenciadas pelo cliente para discos gerenciados do Azure.

  • Chaves gerenciadas pelo cliente para serviços gerenciados: os dados de serviços gerenciados no plano de controle do Azure Databricks são criptografados em repouso. Você pode adicionar uma chave gerenciada pelo cliente para serviços gerenciados para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:

    • Arquivos de origem do bloco de anotações armazenados no plano de controle.
    • Resultados do bloco de notas para blocos de notas armazenados no plano de controlo.
    • Segredos armazenados pelas APIs do gestor de segredos.
    • Consultas de SQL do Databricks e histórico de consultas.
    • Tokens de acesso pessoal ou outras credenciais usadas para configurar a integração do Git com as pastas do Databricks Git.

    Consulte Chaves gerenciadas pelo cliente para serviços gerenciados.

  • Chaves gerenciadas pelo cliente para raiz DBFS: Por padrão, a conta de armazenamento é criptografada com chaves gerenciadas pela Microsoft. Você pode configurar sua própria chave para criptografar todos os dados na conta de armazenamento do espaço de trabalho. Para obter mais informações, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Para obter mais detalhes sobre quais recursos de chave gerenciados pelo cliente no Azure Databricks protegem diferentes tipos de dados, consulte Chaves gerenciadas pelo cliente para criptografia.

Habilitar criptografia dupla para DBFS

O Sistema de Ficheiros do Databricks (DBFS) é um sistema de ficheiros distribuído montado numa área de trabalho do Azure Databricks e disponível em clusters Azure Databricks. O DBFS é implementado como uma conta de armazenamento no grupo de recursos geridos da sua área de trabalho do Azure Databricks. O local padrão no DBFS é conhecido como raiz DBFS.

O Armazenamento do Azure encripta automaticamente todos os dados de uma conta de armazenamento, incluindo o armazenamento raiz do DBFS. Opcionalmente, pode ativar a encriptação ao nível da infraestrutura de Armazenamento do Azure. Quando a encriptação de infraestrutura é ativada, os dados numa conta de armazenamento são encriptados duas vezes: uma ao nível do serviço e outra ao nível da infraestrutura, com dois algoritmos de encriptação e duas chaves diferentes. Para saber mais sobre como implementar uma área de trabalho com encriptação de infraestrutura, consulte Configurar encriptação dupla para a raiz do DBFS.

Criptografar consultas, histórico de consultas e resultados de consultas

Você pode usar sua própria chave do Cofre de Chaves do Azure para criptografar as consultas SQL do Databricks e seu histórico de consultas armazenado no plano de controle do Azure Databricks. Para obter mais detalhes, consulte Encriptar consultas, histórico de consultas e resultados de consultas

Criptografar o tráfego entre nós de trabalho de cluster

As consultas e transformações do utilizador normalmente são enviadas para os seus clusters através de um canal encriptado. No entanto, por predefinição, o intercâmbio de dados entre nós de trabalho num cluster não é encriptado. Se o seu ambiente exigir que os dados sejam sempre encriptados, seja em repouso ou em trânsito, poderá criar um script init que configure os seus clusters para encriptar o tráfego entre nós de trabalho, utilizando encriptação AES de 128 bits numa ligação TLS 1.2. Para obter mais informações, consulte Criptografar tráfego entre nós de trabalho de cluster.

Gerir definições da área de trabalho

Os administradores de espaço de trabalho do Azure Databricks podem gerenciar as configurações de segurança de seu espaço de trabalho, como a capacidade de baixar blocos de anotações e impor o modo de acesso ao cluster de isolamento do usuário. Para obter mais informações, consulte Gerenciar seu espaço de trabalho.