Sicherheitsleitfaden

Dieser Leitfaden bietet eine Übersicht über Sicherheitsfeatures und -funktionen, die ein Unternehmensdatenteam verwenden kann, um seine Azure Databricks-Umgebung entsprechend dem Risikoprofil und der Governancerichtlinie zu härten.

In diesem Leitfaden werden keine Informationen zum Schützen Ihrer Daten behandelt. Diese Informationen finden Sie unter Datengovernance mit Unity Catalog.

Authentifizierung und Zugriffssteuerung

In Azure Databricks ist ein Arbeitsbereich eine als einheitliche Umgebung fungierende Azure Databricks-Bereitstellung in der Cloud, die von einer bestimmten Gruppe von Benutzern für den Zugriff auf alle ihre Azure Databricks-Ressourcen verwendet werden kann. Je nach Anforderung kann Ihre Organisation entweder mehrere Arbeitsbereiche verwenden oder nur einen einzelnen. Ein Azure Databricks-Konto stellt eine einzelne Entität für Abrechnungs-, Benutzerverwaltungs- und Supportzwecke dar. Ein Konto kann mehrere Arbeitsbereiche und Unity Catalog-Metastores enthalten.

Kontoadministratoren kümmern sich um die allgemeine Kontoverwaltung, während Arbeitsbereichsadministratoren die Einstellungen und Features einzelner Arbeitsbereiche im Konto verwalten. Sowohl Konto- als auch Arbeitsbereichsadministratoren verwalten Azure Databricks-Benutzer, -Dienstprinzipale und -Gruppen sowie Authentifizierungseinstellungen und die Zugriffssteuerung.

Azure Databricks bietet Sicherheitsfeatures, z. B. einmaliges Anmelden, um eine starke Authentifizierung zu konfigurieren. Administratoren können diese Einstellungen konfigurieren, um Kontoübernahmen zu verhindern, bei denen Anmeldeinformationen eines Benutzers mit Methoden wie Phishing oder Brute-Force kompromittiert werden, sodass ein Angreifer Zugriff auf alle Daten erhält, auf die über die Umgebung zugegriffen werden kann.

Zugriffssteuerungslisten bestimmen, wer Vorgänge für Objekte in Azure Databricks-Arbeitsbereichen, z. B. Notebooks und SQL-Warehouses, anzeigen und ausführen kann.

Weitere Informationen zur Authentifizierung und Zugriffssteuerung in Azure Databricks finden Sie unter Authentifizierung und Zugriffssteuerung.

Netzwerk

Azure Databricks bietet Netzwerkschutz, mit dem Sie Azure Databricks-Arbeitsbereiche schützen und verhindern können, dass Benutzer vertrauliche Daten exfiltrieren. Sie können IP-Zugriffslisten verwenden, um die Netzwerkadresse von Azure Databricks-Benutzern zu erzwingen. Mithilfe der VNet-Einfügung (ein kundenseitig verwaltetes VNet) können Sie den ausgehenden Netzwerkzugriff sperren. Weitere Informationen finden Sie unter Netzwerk.

Datensicherheit und -verschlüsselung

Sicherheitsorientierte Kunden äußern manchmal die Sorge, dass Databricks selbst kompromittiert sein könnte, was zu einer Kompromittierung ihrer Umgebung führen könnte. Azure Databricks verfügt über ein extrem starkes Sicherheitsprogramm, das das Risiko eines solchen Vorfalls verwaltet. Eine Übersicht über das Programm finden Sie im Security and Trust Center. Das heißt, kein Unternehmen kann alle Risiken vollständig beseitigen, und Azure Databricks bietet Verschlüsselungsfeatures, um zusätzliche Kontrolle über Ihre Daten zu erhalten. Weitere Informationen finden Sie unter Datensicherheit und -verschlüsselung.

Verwaltung von Geheimnissen

Für den Zugriff auf Daten ist es manchmal erforderlich, dass Sie sich bei externen Datenquellen authentifizieren. Databricks empfiehlt, dass Sie Ihre Anmeldeinformationen in Databricks-Geheimnissen speichern, anstatt die Anmeldeinformationen direkt in ein Notebook einzugeben. Weitere Informationen finden Sie unter Geheimnisverwaltung.

Überwachung, Datenschutz und Compliance

Azure Databricks bietet Überwachungsfeatures, mit denen Administratoren Benutzeraktivitäten überwachen können, um Sicherheitsanomalien zu erkennen. Sie können beispielsweise Kontoübernahmen durch Warnungen zu ungewöhnlichen Anmeldezeiten oder gleichzeitigen Remoteanmeldungen überwachen.

Weitere Informationen finden Sie unter Überwachung, Datenschutz und Compliance.

Security Analysis Tool

Wichtig

Das Security Analysis Tool (SAT) ist ein Produktivitätstool im experimentellen Zustand. Es dient nicht als Zertifizierung Ihrer Bereitstellungen. Das SAT-Projekt wird regelmäßig aktualisiert, um die Richtigkeit der Überprüfungen zu verbessern, neue Überprüfungen hinzuzufügen und Fehler zu beheben.

Sie können das Security Analysis Tool (SAT) verwenden, um Ihre Azure Databricks-Konto- und Arbeitsbereichssicherheitskonfigurationen zu analysieren. SAT bietet Empfehlungen, die Ihnen dabei helfen, die bewährten Sicherheitsmethoden für Databricks zu befolgen. SAT wird in der Regel täglich als automatisierter Workflow ausgeführt. Die Details dieser Überprüfungsergebnisse werden in Delta-Tabellen in Ihrem Speicher gespeichert, damit Trends im Laufe der Zeit analysiert werden können. Die Ergebnisse werden in einem zentralisierten Azure Databricks-Dashboard angezeigt.

Weitere Informationen finden Sie im GitHub-Repository des Security Analysis Tools.

Weitere Informationen

Hier finden Sie einige Ressourcen, die Sie beim Aufbau einer umfassenden Sicherheitslösung unterstützen, die den Anforderungen Ihrer Organisation gerecht wird:

• Das Databricks Security and Trust Center das Informationen darüber bereitstellt, wie Sicherheit in jede Ebene der Databricks-Plattform integriert ist.
• Bewährte Methoden für die Sicherheit mit einer Prüfliste mit Sicherheitsmethoden, Überlegungen und Mustern aus unseren Unternehmensprojekten, die Sie auf Ihre Bereitstellung anwenden können.