Поделиться через

Шифрование и обеспечение безопасности данных

  • Статья

В этой статье приводятся конфигурации безопасности данных для защиты данных.

Сведения об обеспечении защиты доступа к вашим данным см. в управлении данными при помощи каталога Unity.

Общие сведения о безопасности и шифровании данных

Azure Databricks предоставляет функции шифрования для защиты данных. Не все функции безопасности доступны во всех ценовых категориях. В следующей таблице содержатся общие сведения о функциях и их соответствии с планами ценообразования.

Функция Ценовая категория
Использование ключей, управляемых клиентом, для шифрования Premium
Шифрование трафика между рабочими узлами кластера Premium
Двойное шифрование для корневого каталога DBFS Premium
Шифрование запросов, журнал запросов и результаты запросов Premium

Включение ключей, управляемых клиентом, для шифрования

Azure Databricks поддерживает добавление управляемого клиентом ключа для защиты и контроля доступа к данным. Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и управляемых аппаратных модулей безопасности Azure Key Vault (HSM). Существует три основных компонента, управляемых клиентом, для различных типов данных:

  • Управляемые клиентом ключи для управляемых дисков: вычислительные рабочие нагрузки Azure Databricks в хранилище временных данных плоскости вычислений на управляемых дисках Azure. По умолчанию данные, хранящиеся на управляемых дисках, шифруются в период неактивности с использованием шифрования на стороне сервера и с применением ключей, управляемых Майкрософт. Вы можете настроить собственный ключ для рабочей области Azure Databricks, чтобы использовать для шифрования управляемых дисков. Ознакомьтесь с ключами, управляемыми клиентом, для управляемых дисков Azure.

  • Ключи, управляемые клиентом для управляемых служб: данные управляемых служб в плоскости управления Azure Databricks шифруются неактивных данных. Можно добавить ключ, управляемый клиентом, для управляемых служб, чтобы защитить и отслеживать доступ к следующим типам зашифрованных данных:

    • Исходные файлы записной книжки, хранящиеся в плоскости управления.
    • Результаты записной книжки для записных книжек, хранящихся в плоскости управления.
    • Секреты, хранимые API диспетчера секретов.
    • Журнал запросов и запросы Databricks SQL.
    • Токены личного доступа или другие учетные данные, используемые для настройки интеграции Git с папками Git в Databricks.

    См . ключи, управляемые клиентом, для управляемых служб.

  • Ключи, управляемые клиентом для корневого каталога DBFS: по умолчанию учетная запись хранения шифруется с помощью ключей, управляемых корпорацией Майкрософт. Вы можете настроить собственный ключ для шифрования всех данных в учетной записи хранения рабочей области. Дополнительные сведения см. в разделе "Ключи, управляемые клиентом" для корневого каталога DBFS.

Дополнительные сведения о том, какие функции, управляемые клиентом, в Azure Databricks защищают различные типы данных, см. в разделе ключи, управляемые клиентом, для шифрования.

Включение двойного шифрования для DBFS

Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как учетная запись хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение по умолчанию в DBFS называется корнем DBFS.

Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения, включая корневое хранилище DBFS. При необходимости можно дополнительно включить двойное шифрование на уровне инфраструктуры хранилища Azure. Если включено шифрование инфраструктуры, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Дополнительные сведения о развертывании рабочей области с шифрованием инфраструктуры см. в разделе Настройка двойного шифрования для корневого каталога DBFS.

Шифрование запросов, журнала запросов и результатов запросов

Вы можете использовать собственный ключ из Azure Key Vault для шифрования запросов и журнала запросов Databricks SQL, хранящихся на уровне управления Azure Databricks. Дополнительные сведения см. в разделе Шифрование запросов, журнал запросов и результаты запросов

Шифрование трафика между рабочими узлами кластера

Пользовательские запросы и преобразования обычно отправляются в кластеры через зашифрованный канал. Однако по умолчанию данные, которыми обмениваются рабочие узлы в кластере, не шифруются. Если согласно требованиям среды данные должны шифроваться всегда (как при хранении, так и при передаче), можно создать скрипт инициализации, который настраивает кластеры для шифрования трафика между рабочими узлами с применением 128-разрядного алгоритма AES по каналу TLS 1.2. Дополнительные сведения см. в разделе "Шифрование трафика между рабочими узлами кластера".

Управление параметрами рабочей области

Администраторы рабочих областей Azure Databricks могут управлять параметрами безопасности своей рабочей области, такими как возможность скачивания записных книжек и принудительного применения режима доступа к кластеру изоляции пользователей. Дополнительные сведения см. в разделе "Управление рабочей областью".