Dela via

Datasäkerhet och kryptering

  • Artikel

I den här artikeln beskrivs konfigurationer för datasäkerhet som hjälper dig att skydda dina data.

Information om hur du skyddar åtkomsten till dina data finns i Datastyrning med Unity Catalog.

Översikt över datasäkerhet och kryptering

Azure Databricks tillhandahåller krypteringsfunktioner för att skydda dina data. Alla säkerhetsfunktioner är inte tillgängliga på alla prisnivåer. Följande tabell innehåller en översikt över funktionerna och hur de överensstämmer med prisplaner.

Funktion Prisnivå
Kundhanterade nycklar för kryptering Premium
Kryptera trafik mellan klusterarbetsnoder Premium
Dubbel kryptering för DBFS-rot Premium
Kryptera frågor, frågehistorik och frågeresultat Premium

Aktivera kundhanterade nycklar för kryptering

Azure Databricks har stöd för att lägga till en kundhanterad nyckel för att skydda och kontrollera åtkomsten till data. Azure Databricks stöder kundhanterade nycklar från Azure Key Vault-valv och Azure Key Vault Managed Hardware Security Modules (HSM). Det finns tre kundhanterade nyckelfunktioner för olika typer av data:

  • Kundhanterade nycklar för hanterade diskar: Azure Databricks-beräkningsarbetsbelastningar i beräkningsplanet lagrar tillfälliga data på Azure-hanterade diskar. Som standard krypteras data som lagras på hanterade diskar i viloläge med kryptering på serversidan med Microsoft-hanterade nycklar. Du kan konfigurera din egen nyckel för din Azure Databricks-arbetsyta som ska användas för kryptering av hanterade diskar. Se Kundhanterade nycklar för Azure-hanterade diskar.

  • Kundhanterade nycklar för hanterade tjänster: Hanterade tjänstdata i Azure Databricks-kontrollplanet krypteras i vila. Du kan lägga till en kundhanterad nyckel för hanterade tjänster för att skydda och kontrollera åtkomsten till följande typer av krypterade data:

    • Källfiler för notebook-filer som lagras i kontrollplanet.
    • Notebook-resultat för notebook-filer som lagras i kontrollplanet.
    • Hemligheter som lagras av API:erna för Secret Manager.
    • Databricks SQL-frågor och frågehistorik.
    • Personliga åtkomsttoken eller andra autentiseringsuppgifter som används för att konfigurera Git-integrering med Databricks Git-mappar.

    Se Kundhanterade nycklar för hanterade tjänster.

  • Kundhanterade nycklar för DBFS-rot: Som standard krypteras lagringskontot med Microsoft-hanterade nycklar. Du kan konfigurera din egen nyckel för att kryptera alla data i arbetsytans lagringskonto. Mer information finns i Kundhanterade nycklar för DBFS-rot.

Mer information om vilka kundhanterade nyckelfunktioner i Azure Databricks som skyddar olika typer av data finns i Kundhanterade nycklar för kryptering.

Aktivera dubbel kryptering för DBFS

Databricks File System (DBFS) är ett distribuerat filsystem som monteras på en Azure Databricks-arbetsyta och är tillgängligt på Azure Databricks-kluster. DBFS implementeras som ett lagringskonto i Azure Databricks-arbetsytans hanterade resursgrupp. Standardplatsen i DBFS kallas DBFS-roten.

Azure Storage krypterar automatiskt alla data i ett lagringskonto, inklusive DBFS-rotlagring. Du kan också aktivera kryptering på Azure Storage-infrastrukturnivå. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Mer information om hur du distribuerar en arbetsyta med infrastrukturkryptering finns i Konfigurera dubbel kryptering för DBFS-rot.

Kryptera frågor, frågehistorik och frågeresultat

Du kan använda din egen nyckel från Azure Key Vault för att kryptera Databricks SQL-frågorna och din frågehistorik som lagras i Azure Databricks-kontrollplanet. Mer information finns i Kryptera frågor, frågehistorik och frågeresultat

Kryptera trafik mellan klusterarbetsnoder

Användarfrågor och transformeringar skickas vanligtvis till dina kluster via en krypterad kanal. Som standard krypteras emellertid inte data som utbyts mellan arbetsnoder i ett kluster. Om din miljö kräver att data alltid krypteras, oavsett om de är i vila eller under överföring, kan du skapa ett init-skript som konfigurerar dina kluster att kryptera trafik mellan arbetsnoder med AES 128-bitars kryptering via en TLS 1.2-anslutning. Mer information finns i Kryptera trafik mellan klusterarbetsnoder.

Hantera inställningar för arbetsyta

Azure Databricks-arbetsyteadministratörer kan hantera sin arbetsytas säkerhetsinställningar, till exempel möjligheten att ladda ned notebook-filer och framtvinga åtkomstläget för användarisoleringskluster. Mer information finns i Hantera din arbetsyta.