Руководство по обеспечению безопасности
В этом руководстве представлен обзор функций безопасности и возможностей, которые группа корпоративных данных может использовать для защиты среды Azure Databricks в соответствии с их профилем риска и политикой управления.
В этом руководстве не рассматриваются сведения о защите данных. Дополнительные сведения см. в разделе "Управление данными с помощью каталога Unity".
Проверка подлинности и управление доступом
В Azure Databricks рабочая область — это развертывание Azure Databricks в облаке, которое работает в качестве единой среды, которая использует указанный набор пользователей для доступа ко всем своим ресурсам Azure Databricks. Ваша организация может выбрать несколько рабочих областей или только одну в зависимости от ваших потребностей. Учетная запись Azure Databricks представляет одну сущность для выставления счетов, управления пользователями и поддержки. Учетная запись может включать несколько рабочих областей и хранилища метаданных каталога Unity.
Администраторы учетных записей обрабатывают общее управление учетными записями, а администраторы рабочих областей управляют параметрами и функциями отдельных рабочих областей в учетной записи. Администраторы учетных записей и рабочих областей управляют пользователями Azure Databricks, субъектами-службами и группами, а также параметрами проверки подлинности и контролем доступа.
Azure Databricks предоставляет функции безопасности, такие как единый вход, для настройки строгой проверки подлинности. Администраторы могут настроить эти параметры, чтобы предотвратить отработку учетных данных, в которых учетные данные, принадлежащие пользователю, скомпрометируются с помощью таких методов, как фишинг или методы подбора, предоставляя злоумышленнику доступ ко всем данным, доступным из среды.
Списки управления доступом определяют, кто может просматривать и выполнять операции с объектами в рабочих областях Azure Databricks, таких как записные книжки и хранилища SQL.
Дополнительные сведения о проверке подлинности и управлении доступом в Azure Databricks см. в статье "Проверка подлинности и управление доступом".
Сеть
Azure Databricks обеспечивает защиту сети, которая позволяет защитить рабочие области Azure Databricks и предотвратить использование конфиденциальных данных пользователями. Списки IP-доступа можно использовать для принудительного применения сетевого расположения пользователей Azure Databricks. С помощью внедрения виртуальной сети (управляемой клиентом виртуальной сети) можно заблокировать исходящий сетевой доступ. Дополнительные сведения см. в разделе "Сеть".
Шифрование и обеспечение безопасности данных
Клиенты, думающие о безопасности, иногда вызывают обеспокоенность тем, что Databricks может быть скомпрометирован, что может привести к компрометации своей среды. Azure Databricks имеет чрезвычайно сильную программу безопасности, которая управляет риском такого инцидента. Общие сведения о программе см. в центре безопасности и управления безопасностью. Тем не более чем компания не может полностью исключить все риски, и Azure Databricks предоставляет функции шифрования для дополнительного управления данными. См. сведения о безопасности и шифровании данных.
Управление секретами
Иногда для доступа к данным требуется пройти проверку подлинности в внешних источниках данных. Databricks рекомендует использовать секреты Databricks для хранения учетных данных вместо непосредственного ввода учетных данных в записную книжку. Дополнительные сведения см. в разделе "Управление секретами".
Аудит, конфиденциальность и соответствие требованиям
Azure Databricks предоставляет функции аудита, позволяющие администраторам отслеживать действия пользователей для обнаружения аномалий безопасности. Например, вы можете выполнить переход на учетную запись monitior, оповещав о необычном времени входа или одновременных удаленных входах.
Дополнительные сведения см. в разделе "Аудит", "Конфиденциальность" и "Соответствие".
Средство анализа безопасности
Внимание
Средство анализа безопасности (SAT) — это средство для повышения производительности в экспериментальном состоянии. Он не предназначен для использования в качестве сертификации развертываний. Проект SAT регулярно обновляется для улучшения правильности проверок, добавления новых проверок и исправления ошибок.
Средство анализа безопасности (SAT) можно использовать для анализа учетной записи Azure Databricks и конфигураций безопасности рабочей области. SAT предоставляет рекомендации, которые помогут вам следовать рекомендациям по обеспечению безопасности Databricks. SAT обычно выполняется ежедневно как автоматизированный рабочий процесс. Сведения об этих результатах проверки сохраняются в таблицах Delta в хранилище, чтобы с течением времени можно было анализировать тенденции. Эти результаты отображаются на централизованной панели мониторинга Azure Databricks.
Дополнительные сведения см . в репозитории GitHub средства анализа безопасности.
Подробнее
Ниже приведены некоторые ресурсы, которые помогут вам создать комплексное решение для обеспечения безопасности, соответствующее потребностям вашей организации:
- Центр безопасности и управления безопасностью Databricks, предоставляющий сведения о способах, в которых безопасность встроена в каждый слой платформы Databricks.
- Рекомендации по обеспечению безопасности, которые предоставляют контрольный список методик безопасности, рекомендаций и шаблонов, которые можно применить к развертыванию, научились из наших корпоративных обязательств.