セキュリティ ガイド

  • [アーティクル]

このガイドでは、エンタープライズ データ チームがリスク プロファイルとガバナンス ポリシーに従って Azure Databricks 環境を強化するために使用できるセキュリティ機能の概要について説明します。

データのセキュリティ保護に関する情報については、このガイドの範囲外です。 詳細については、「Unity Catalog を使用したデータ ガバナンス」を参照してください。

認証とアクセス制御

Azure Databricks では、"ワークスペース" とはクラウド内の Azure Databricks デプロイであり、指定した一連のユーザーがすべての Azure Databricks 資産へのアクセスに使用する統合環境として機能します。 組織は、保持するワークスペースを複数にするか 1 つのみにするかを、ニーズに応じて選択できます。 Azure Databricks "アカウント" とは、課金、ユーザー管理、サポートを目的とした 1 つのエンティティを表します。 1 つのアカウントに、複数のワークスペースと Unity Catalog メタストアを含めることができます。

アカウント管理者は一般的なアカウント管理を処理し、ワークスペース管理者はアカウント内の個々のワークスペースの設定と機能を管理します。 Azure Databricks のユーザー、サービス プリンシパル、グループ、認証設定とアクセス制御は、アカウント管理者とワークスペース管理者の両者によって管理されます。

Azure Databricks には、強力な認証を構成するためのセキュリティ機能 (シングル サインオンなど) が備わっています。 管理者は、これらの設定を構成して、アカウント乗っ取りを防ぐことができます。アカウントが乗っ取られると、ユーザーに属する資格情報がフィッシングやブルート フォースなどの方法を使用して侵害され、攻撃者が環境からすべてのデータにアクセスできるようになります。

アクセス制御リストでは、Azure Databricks ワークスペース内のオブジェクト (ノートブックや SQL ウェアハウスなど) で操作を表示して実行できるユーザーが決定されます。

Azure Databricks での認証とアクセス制御の詳細については、「認証とアクセス制御」を参照してください。

ネットワーク

Azure Databricks には、Azure Databricks ワークスペースをセキュリティで保護し、ユーザーによる機密データの流出を防ぐためのネットワーク保護が備わっています。 IP アクセス リストを使用すると、Azure Databricks ユーザーのネットワークの場所を適用できます。 VNet インジェクション (カスタマー マネージド VNet) を使用すると、送信ネットワーク アクセスをロックダウンできます。 詳しくは、「ネットワーク」をご参照ください。

データ セキュリティと暗号化

セキュリティに関心のあるお客様から、Databricks 自体が侵害される結果として、環境も侵害される可能性があるのではという不安の声が上がることがあります。 Azure Databricks には、このようなインシデントのリスクを管理する非常に強力なセキュリティ プログラムが用意されています。 このプログラムの概要については、「セキュリティとトラスト センター」を参照してください。 つまり、すべてのリスクを完全に排除できる会社はなく、Azure Databricks にはデータをさらに制御するための暗号化機能が備わっています。 「データ セキュリティと暗号化」を参照してください。

シークレットの管理

データにアクセスするには、外部データ ソースに対して認証する必要がある場合があります。 Databricks では、資格情報をノートブックに直接入力するのではなく、Databricks のシークレットを使用して資格情報を保存することをお勧めします。 詳細については、「シークレットの管理」を参照してください。

監査、プライバシー、コンプライアンス

Azure Databricks には、管理者がユーザー アクティビティを監視してセキュリティの異常を検出できる監査機能が備わっています。 たとえば、異常なログイン時間や同時リモート ログインについて警告することで、アカウント乗っ取りを監視できます。

詳細については、「監査、プライバシー、コンプライアンス」を参照してください。

セキュリティ分析ツール

重要

セキュリティ分析ツール (SAT) は、試験段階状態の生産性ツールです。 これは、デプロイを認定する目的での使用は意図していません。 SAT プロジェクトは定期的に更新され、チェックの正確性の向上、新しいチェックの追加、バグの修正が行われます。

セキュリティ分析ツール (SAT) を使用すると、Azure Databricks アカウントとワークスペースのセキュリティ構成を分析できます。 SAT には、Databricks セキュリティのベスト プラクティスを取り入れるのに役立つレコメンデーションが用意されています。 SAT は通常、自動化されたワークフローとして毎日実行されます。 これらのチェック結果の詳細はストレージ内の Delta テーブルに保持されるため、時間の経過とともに傾向を分析できます。 これらの結果は、一元化された Azure Databricks ダッシュボードに表示されます。

詳しくは、セキュリティ分析ツールの GitHub リポジトリをご覧ください。

Security Analysis Tool diagram

詳細情報

組織のニーズを満たす包括的なセキュリティ ソリューションを構築するのに役立ついくつかのリソースを以降に示します。