Поделиться через

Руководство по обеспечению безопасности

  • Статья

В этом руководстве представлен обзор функций безопасности и возможностей, которые группа корпоративных данных может использовать для защиты среды Azure Databricks в соответствии с их профилем риска и политикой управления.

В этом руководстве не рассматриваются сведения о защите данных. Для получения этой информации см. управление данными с помощью каталога Unity.

Проверка подлинности и управление доступом

В Azure Databricks рабочая область — это развертывание Azure Databricks в облаке, которое работает в качестве единой среды, которая использует указанный набор пользователей для доступа ко всем своим ресурсам Azure Databricks . Ваша организация может выбрать несколько рабочих областей или только одну в зависимости от ваших потребностей. Учетная запись Azure Databricks представляет одну сущность для выставления счетов, управления пользователями и поддержки. Учетная запись может включать несколько рабочих областей и хранилища метаданных каталога Unity.

Администраторы учетных записей обрабатывают общее управление учетными записями, а администраторы рабочих областей управляют параметрами и функциями отдельных рабочих областей в учетной записи. Администраторы учетных записей и рабочих областей управляют пользователями Azure Databricks, субъектами-службами и группами, а также параметрами проверки подлинности и контролем доступа.

Azure Databricks предоставляет функции безопасности, такие как единый вход, для настройки строгой проверки подлинности. Администраторы могут настроить эти параметры, чтобы помочь предотвратить захват учетных записей, когда учетные данные пользователя компрометируются с помощью таких методов, как фишинг или атаки методом грубой силы, предоставляя злоумышленнику доступ ко всем данным, доступным из среды.

Списки управления доступом определяют, кто может просматривать и выполнять операции с объектами в рабочих областях Azure Databricks, таких как записные книжки и хранилища SQL.

Дополнительные сведения о проверке подлинности и управлении доступом в Azure Databricks см. в статье "Проверка подлинности и управление доступом".

Сеть

Azure Databricks обеспечивает защиту сети, которая позволяет защитить рабочие области Azure Databricks и предотвратить использование конфиденциальных данных пользователями. Списки IP-доступа можно использовать для принудительного применения сетевого расположения пользователей Azure Databricks. С помощью внедрения виртуальной сети (управляемой клиентом виртуальной сети) можно заблокировать исходящий сетевой доступ. Дополнительные сведения см. в разделе "Сеть".

Шифрование и обеспечение безопасности данных

Клиенты, думающие о безопасности, иногда вызывают обеспокоенность тем, что Databricks может быть скомпрометирован, что может привести к компрометации своей среды. Azure Databricks имеет чрезвычайно сильную программу безопасности, которая управляет риском такого инцидента. Общие сведения о программе см. в центре безопасности и управления безопасностью. Тем не более чем компания не может полностью исключить все риски, и Azure Databricks предоставляет функции шифрования для дополнительного управления данными. См. сведения о безопасности и шифровании данных.

Управление секретами

Иногда для доступа к данным требуется пройти проверку подлинности в внешних источниках данных. Databricks рекомендует использовать секреты Databricks для хранения учетных данных вместо непосредственного ввода учетных данных в записную книжку. Дополнительные сведения см. в разделе "Управление секретами".

Аудит, конфиденциальность и соответствие требованиям

Azure Databricks предоставляет функции аудита, позволяющие администраторам отслеживать действия пользователей для обнаружения аномалий безопасности. Например, вы можете выполнить переход на учетную запись monitior, оповещав о необычном времени входа или одновременных удаленных входах.

Дополнительные сведения см. в разделе "Аудит", "Конфиденциальность" и "Соответствие".

Средство анализа безопасности

Внимание

Средство анализа безопасности (SAT) — это средство для повышения производительности в экспериментальном состоянии. Он не предназначен для использования в качестве сертификации развертываний. Проект SAT регулярно обновляется для улучшения правильности проверок, добавления новых проверок и исправления ошибок.

Средство анализа безопасности (SAT) можно использовать для анализа учетной записи Azure Databricks и конфигураций безопасности рабочей области. SAT предоставляет рекомендации, которые помогут вам следовать рекомендациям по обеспечению безопасности Databricks. SAT обычно выполняется ежедневно как автоматизированный рабочий процесс. Сведения об этих результатах проверки сохраняются в таблицах Delta в хранилище, чтобы с течением времени можно было анализировать тенденции. Эти результаты отображаются на централизованной панели мониторинга Azure Databricks.

Дополнительные сведения см . в репозитории GitHub средства анализа безопасности.

Схема средства анализа безопасности

Подробнее

Ниже приведены некоторые ресурсы, которые помогут вам создать комплексное решение для обеспечения безопасности, соответствующее потребностям вашей организации:

  • Центр безопасности и управления безопасностью Databricks, предоставляющий сведения о способах, в которых безопасность встроена в каждый слой платформы Databricks.
  • Рекомендации по обеспечению безопасности, которые предоставляют контрольный список методик безопасности, рекомендаций и шаблонов, которые можно применить к развертыванию, научились из наших корпоративных обязательств.