你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Databricks 和安全性

Azure Databricks 是一种面向 Azure 云服务进行优化的数据分析平台。 它提供三种用于开发数据密集型应用程序的环境:

要详细了解 Azure Databricks 如何提高大数据分析的安全性,请参阅 Azure Databricks 概念

以下部分包括特定于 Azure Databricks 的设计注意事项、配置清单和建议配置选项。

设计注意事项

默认情况下,所有用户的笔记本和笔记本结果都已静态加密。 如果有其他需求,请考虑为笔记本使用客户管理的密钥

清单

你是否出于安全性考虑而配置了 Azure Databricks?


  • 使用 Microsoft Entra ID 凭据直通,以避免在与 Azure Data Lake 存储通信时需要服务主体。
  • 将工作区、计算和数据与公共访问隔开。 请确保只有合适人员才能访问,并且仅限他们通过安全通道。
  • 确保只能由适当的托管用户访问分析的云工作区。
  • 实现 Azure 专用链接。
  • 限制和监视虚拟机。
  • 使用动态 IP 访问列表,允许管理员仅从其企业网络访问工作区。
  • 使用 VNet 注入功能实现更安全的方案。
  • 使用诊断日志审核工作区访问权限和权限。
  • 请考虑使用安全群集连接功能和中心/辐射型体系结构来阻止打开端口,并在群集节点上分配公共 IP。

配置建议

探索以下建议表,优化 Azure Databricks 配置以提高安全性:

建议 说明
确保只能由适当的托管用户访问分析的云工作区。 Microsoft Entra ID 可以处理远程访问的单一登录。 要获得额外的安全性,请参阅条件访问
实现 Azure 专用链接。 确保你的平台、笔记本和处理查询的计算群集之间的所有流量都通过云提供商的网络主干(外界无法访问)进行加密和传输。
限制和监视虚拟机。 执行查询的群集应限制 SSH 和网络访问,以防止安装任意包。 群集应只使用定期扫描漏洞的映像。
使用 VNet 注入功能实现更安全的方案。 例如:
- 使用服务终结点连接到其他 Azure 服务。
- 利用用户定义的路由连接到本地数据源。
- 连接到网络虚拟设备以检查所有出站流量,并根据允许和拒绝规则执行操作。
- 使用自定义 DNS。
- 在现有虚拟网络中部署 Azure Databricks 群集。
使用诊断日志审核工作区访问权限和权限。 使用审核日志查看工作区中的特权活动、群集重设大小、群集上共享的文件和文件夹。

源项目

Azure Databricks 源项目包括 Databricks 博客:保护企业级数据平台的最佳做法

下一步