Azure Databricks och säkerhet
Azure Databricks är en dataanalysplattform som är optimerad för Azure-molntjänster. Den erbjuder tre miljöer för att utveckla dataintensiva program:
Mer information om hur Azure Databricks förbättrar säkerheten för stordataanalys finns i Azure Databricks-begrepp.
Följande avsnitt omfattar designöverväganden, en konfigurationschecklista och rekommenderade konfigurationsalternativ som är specifika för Azure Databricks.
Utformningsbeaktanden
Alla användares notebook-filer och notebook-resultat krypteras som standard i vila. Om det finns andra krav kan du överväga att använda kundhanterade nycklar för notebook-filer.
Checklista
Har du konfigurerat Azure Databricks med säkerhet i åtanke?
- Använd genomströmning av autentiseringsuppgifter för Microsoft Entra-ID för att undvika behovet av tjänstens huvudnamn när du kommunicerar med Azure Data Lake Storage.
- Isolera dina arbetsytor, beräkning och data från offentlig åtkomst. Se till att endast rätt personer har åtkomst och endast via säkra kanaler.
- Se till att molnarbetsytorna för din analys endast är tillgängliga för korrekt hanterade användare.
- Implementera Azure Private Link.
- Begränsa och övervaka dina virtuella datorer.
- Använd dynamiska IP-åtkomstlistor för att tillåta administratörer att endast komma åt arbetsytor från sina företagsnätverk.
- Använd funktionen för VNet-inmatning för att aktivera säkrare scenarier.
- Använd diagnostikloggar för att granska åtkomst och behörigheter för arbetsytan.
- Överväg att använda funktionen För säker klusteranslutning och hub/ekerarkitektur för att förhindra att portar öppnas och tilldela offentliga IP-adresser på klusternoder.
Konfigurationsrekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Databricks-konfiguration för säkerhet:
| Rekommendation | beskrivning |
|---|---|
| Se till att molnarbetsytorna för din analys endast är tillgängliga för korrekt hanterade användare. | Microsoft Entra-ID kan hantera enkel inloggning för fjärråtkomst. För extra säkerhet, referera till villkorsstyrd åtkomst. |
| Implementera Azure Private Link. | Se till att all trafik mellan användare av din plattform, notebook-filer och beräkningskluster som bearbetar frågor krypteras och överförs via molnleverantörens nätverksstomme, otillgängliga för omvärlden. |
| Begränsa och övervaka dina virtuella datorer. | Kluster, som kör frågor, bör ha SSH- och nätverksåtkomst begränsad för att förhindra installation av godtyckliga paket. Kluster bör endast använda bilder som regelbundet genomsöks efter säkerhetsrisker. |
| Använd funktionen för VNet-inmatning för att aktivera säkrare scenarier. | Som: – Anslut till andra Azure-tjänster med hjälp av tjänstslutpunkter. - Anslut till lokala datakällor och dra nytta av användardefinierade vägar. - Anslut till en virtuell nätverksinstallation för att inspektera all utgående trafik och vidta åtgärder enligt reglerna för att tillåta och neka. – Använda anpassad DNS. – Distribuera Azure Databricks-kluster i befintliga virtuella nätverk. |
| Använd diagnostikloggar för att granska åtkomst och behörigheter för arbetsytan. | Använd granskningsloggar för att se privilegierad aktivitet på en arbetsyta, storleksändring av kluster, filer och mappar som delas i klustret. |
Källartefakter
Azure Databricks-källartefakter innehåller Databricks-bloggen: Metodtips för att skydda en dataplattform i företagsskala.