Gegevensbeveiliging en -versleuteling
In dit artikel worden configuraties voor gegevensbeveiliging geïntroduceerd om uw gegevens te beschermen.
Zie Gegevensbeheer met Unity Catalog voor informatie over het beveiligen van de toegang tot uw gegevens.
Overzicht van gegevensbeveiliging en -versleuteling
Azure Databricks biedt versleutelingsfuncties om uw gegevens te beveiligen. Niet alle beveiligingsfuncties zijn beschikbaar voor alle prijscategorieën. De volgende tabel bevat een overzicht van de functies en hoe deze zijn afgestemd op prijsplannen.
| Functie | Prijscategorie |
|---|---|
| Door de klant beheerde sleutels gebruiken voor versleuteling | Premium |
| Verkeer tussen clusterwerkknooppunten versleutelen | Premium |
| Dubbele versleuteling voor DBFS-hoofdmap | Premium |
| Query's, querygeschiedenis en queryresultaten versleutelen | Premium |
Door de klant beheerde sleutels inschakelen voor versleuteling
Azure Databricks biedt ondersteuning voor het toevoegen van een door de klant beheerde sleutel om de toegang tot gegevens te beveiligen en te beheren. Azure Databricks ondersteunt door de klant beheerde sleutels van Azure Key Vault-kluizen en Azure Key Vault Managed Hardware Security Modules (HSM's). Er zijn drie door de klant beheerde belangrijke functies voor verschillende typen gegevens:
Door de klant beheerde sleutels voor beheerde schijven: Azure Databricks-rekenworkloads in het rekenvlak slaan tijdelijke gegevens op door Azure beheerde schijven op. Standaard worden gegevens die zijn opgeslagen op beheerde schijven versleuteld met behulp van versleuteling aan de serverzijde met door Microsoft beheerde sleutels. U kunt uw eigen sleutel configureren voor uw Azure Databricks-werkruimte die moet worden gebruikt voor versleuteling van beheerde schijven. Zie door de klant beheerde sleutels voor door azure beheerde schijven.
Door de klant beheerde sleutels voor beheerde services: gegevens van beheerde services in het azure Databricks-besturingsvlak worden in rust versleuteld. U kunt een door de klant beheerde sleutel voor beheerde services toevoegen om de toegang tot de volgende typen versleutelde gegevens te beveiligen en te beheren:
- Notebookbronbestanden die zijn opgeslagen in het besturingsvlak.
- Notebookresultaten voor notebooks die zijn opgeslagen in het besturingsvlak.
- Geheimen die zijn opgeslagen door de Secret Manager-API's.
- SQL-query's en querygeschiedenis in Databricks.
- Persoonlijke toegangstokens of andere referenties die worden gebruikt voor het instellen van Git-integratie met Databricks Git-mappen.
Door de klant beheerde sleutels voor dbFS-hoofdmap: het opslagaccount wordt standaard versleuteld met door Microsoft beheerde sleutels. U kunt uw eigen sleutel configureren om alle gegevens in het hoofdopslagaccount van de werkruimte te versleutelen. Zie Door de klant beheerde sleutels voor dbFS-hoofdmap voor meer informatie.
Zie Door de klant beheerde sleutels voor versleuteling voor meer informatie over welke door de klant beheerde sleutelfuncties in Azure Databricks verschillende soorten gegevens beveiligen.
Dubbele versleuteling inschakelen voor DBFS
Databricks File System (DBFS) is een gedistribueerd bestandssysteem dat is gekoppeld aan een Azure Databricks-werkruimte en beschikbaar is in Azure Databricks-clusters. DBFS wordt geïmplementeerd als een opslagaccount in de beheerde resourcegroep van uw Azure Databricks-werkruimte. De standaardopslaglocatie in DBFS wordt de DBFS-hoofdmap genoemd.
Azure Storage versleutelt automatisch alle gegevens in een opslagaccount, inclusief DBFS-hoofdopslag. U kunt eventueel versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden de gegevens in een opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. Bekijk Dubbele versleuteling voor DBFS-hoofdmap configureren voor meer informatie over het implementeren van een werkruimte met infrastructuurversleuteling.
Query's, querygeschiedenis en queryresultaten versleutelen
U kunt uw eigen sleutel van Azure Key Vault gebruiken om de Databricks SQL-query's en uw querygeschiedenis te versleutelen die zijn opgeslagen in het azure Databricks-besturingsvlak. Bekijk Query's, querygeschiedenis en queryresultaten versleutelen voor meer informatie
Verkeer tussen clusterwerkknooppunten versleutelen
Gebruikersquery's en transformaties worden doorgaans via een versleuteld kanaal naar uw clusters verzonden. De gegevens die worden uitgewisseld tussen werkknooppunten in een cluster, worden standaard niet versleuteld. Als uw omgeving vereist dat gegevens altijd worden versleuteld, ongeacht of ze in rust of in transit zijn, kunt u een init-script maken waarmee uw clusters worden geconfigureerd voor het versleutelen van verkeer tussen werkknooppunten met behulp van 128-bits AES/versleuteling via een TLS 1.2-verbinding. Zie Verkeer tussen clusterwerkknooppunten versleutelen voor meer informatie.
Instellingen voor werkruimte beheren
Beheerders van Azure Databricks-werkruimten kunnen de beveiligingsinstellingen van hun werkruimte beheren, zoals de mogelijkheid om notebooks te downloaden en de toegangsmodus voor gebruikersisolatieclusters af te dwingen. Zie Uw werkruimte beheren voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor