Guia de segurança
Este guia fornece uma visão geral dos recursos e funcionalidades de segurança que uma equipe de dados corporativa pode usar para proteger seu ambiente do Azure Databricks de acordo com seu perfil de risco e política de governança.
Este guia não aborda informações sobre como proteger seus dados. Para obter essas informações, consulte Governança de dados com o Catálogo do Unity.
Autenticação e controle de acesso
No Azure Databricks, um workspace é uma implantação do Azure Databricks na nuvem que funciona como o ambiente unificado que um conjunto especificado de usuários utiliza para acessar todos os ativos do Azure Databricks. Sua organização pode optar por ter diversos workspaces ou somente um, depende das necessidades. Uma conta do Azure Databricks representa uma única entidade para fins de cobrança, gerenciamento de usuário e suporte. Uma conta pode incluir vários workspaces e metastores do Catálogo do Unity.
Os administradores de conta lidam com o gerenciamento geral de contas e os administradores de workspace gerenciam as configurações e os recursos de workspaces individuais na conta. Os administradores de conta e workspace gerenciam usuários, entidades de serviço e grupos do Azure Databricks, bem como configurações de autenticação e controle de acesso.
O Azure Databricks fornece recursos de segurança, como logon único, para configurar a autenticação forte. Os administradores podem definir essas configurações para ajudar a evitar tomadas de controle de conta, nas quais as credenciais pertencentes a um usuário são comprometidas usando métodos como phishing ou força bruta, dando a um invasor acesso a todos os dados acessíveis do ambiente.
As listas de controle de acesso determinam quem pode exibir e executar operações em objetos em workspaces do Azure Databricks, como notebooks e SQL warehouses.
Para saber mais sobre autenticação e controle de acesso no Azure Databricks, confira Controle de acesso e autenticação.
Rede
O Azure Databricks fornece proteções de rede que permitem proteger os workspaces do Azure Databricks e ajudar a impedir que os usuários exfiltrem dados confidenciais. Você pode usar listas de acesso IP para impor o local de rede dos usuários do Azure Databricks. Usando a injeção de VNet (uma VNet gerenciada pelo cliente), você pode bloquear o acesso à rede de saída. Para saber mais, consulte Rede.
Segurança e criptografia de dados
Cliente preocupados com segurança temem que o próprio Databricks possa ser comprometido, resultando no comprometimento de seu ambiente. O Azure Databricks tem um programa de segurança extremamente forte que gerencia o risco de um incidente desse tipo. Consulte a Central de Segurança e Confiabilidade para obter uma visão geral sobre o programa. Dito isso, nenhuma empresa pode eliminar completamente todos os riscos e o Azure Databricks fornece recursos de criptografia para controle adicional de seus dados. Confira Segurança e criptografia de dados.
Gerenciamento de segredos
Às vezes, o acesso aos dados exige que você se autentique em fontes de dados externas. O Azure Databricks recomenda que você use segredos do Azure Databricks para armazenar suas credenciais em vez de inserir diretamente suas credenciais em um notebook. Para obter mais informações, consulte Gerenciamento de segredos.
Auditoria, privacidade e conformidade
O Azure Databricks fornece recursos de auditoria para permitir que os administradores monitorem as atividades do usuário para detectar anomalias de segurança. Por exemplo, você pode monitorar tomadas de controle de conta alertando sobre o tempo incomum de logons ou logons remotos simultâneos.
Para obter mais informações, consulte Auditoria, privacidade e conformidade.
Ferramenta de Análise de Segurança
Importante
A SAT (Ferramenta de Análise de Segurança) é uma ferramenta de produtividade em um estado Experimental. Não deve ser usada como uma certificação de suas implantações. O projeto SAT é atualizado regularmente para melhorar a exatidão das verificações, adicionar novas verificações e corrigir bugs.
Você pode usar a SAT (Ferramenta de Análise de Segurança) para analisar a conta do Azure Databricks e as configurações de segurança do workspace. A SAT fornece recomendações que ajudam você a seguir as melhores práticas de segurança do Databricks. A SAT normalmente é executada diariamente como um fluxo de trabalho automatizado. Os detalhes desses resultados de verificação são persistidos em tabelas Delta em seu armazenamento para que as tendências possam ser analisadas ao longo do tempo. Esses resultados são exibidos em um painel centralizado do Azure Databricks.
Para obter mais informações, consulte o repositório GitHub da Ferramenta de Análise de Segurança.
Saiba mais
Aqui estão alguns recursos para ajudar você a criar uma solução de segurança abrangente que atenda às necessidades da sua organização:
- A Central de Segurança e Confiabilidade do Databricks fornece informações sobre as formas de inserção da segurança em cada camada da Plataforma Databricks.
- Melhores práticas de segurança, que fornece uma lista de verificação de práticas de segurança, considerações e padrões que você pode aplicar à sua implantação, aprendidos com a participação da nossa empresa.