Guia de segurança

Este guia fornece uma visão geral dos recursos e capacidades de segurança que uma equipe de dados corporativos pode usar para proteger seu ambiente Azure Databricks de acordo com seu perfil de risco e política de governança.

Este guia não cobre informações sobre como proteger seus dados. Para obter essas informações, consulte Governança de dados com o Unity Catalog.

Controlo de acesso e autenticação

No Azure Databricks, um espaço de trabalho é uma implantação do Azure Databricks na nuvem que funciona como o ambiente unificado que um conjunto especificado de usuários usa para acessar todos os seus ativos do Azure Databricks. Sua organização pode optar por ter vários espaços de trabalho ou apenas um, dependendo de suas necessidades. Uma conta do Azure Databricks representa uma única entidade para fins de cobrança, gerenciamento de usuários e suporte. Uma conta pode incluir vários espaços de trabalho e metastores do Unity Catalog.

Os administradores de conta lidam com o gerenciamento geral de contas e os administradores de espaço de trabalho gerenciam as configurações e os recursos de espaços de trabalho individuais na conta. Os administradores de conta e de espaço de trabalho gerenciam usuários, entidades de serviço e grupos do Azure Databricks, bem como configurações de autenticação e controle de acesso.

O Azure Databricks fornece recursos de segurança, como logon único, para configurar a autenticação forte. Os administradores podem definir essas configurações para ajudar a evitar tomadas de conta, nas quais as credenciais pertencentes a um usuário são comprometidas usando métodos como phishing ou força bruta, dando a um invasor acesso a todos os dados acessíveis a partir do ambiente.

As listas de controle de acesso determinam quem pode exibir e executar operações em objetos em espaços de trabalho do Azure Databricks, como blocos de anotações e armazéns SQL.

Para saber mais sobre autenticação e controle de acesso no Azure Databricks, consulte Autenticação e controle de acesso.

Rede

O Azure Databricks fornece proteções de rede que permitem proteger espaços de trabalho do Azure Databricks e ajudam a impedir que os usuários exfiltrem dados confidenciais. Você pode usar listas de acesso IP para impor o local de rede dos usuários do Azure Databricks. Usando a injeção de VNet (uma VNet gerenciada pelo cliente), você pode bloquear o acesso à rede de saída. Para saber mais, consulte Rede.

Segurança e encriptação de dados

Clientes preocupados com a segurança às vezes expressam uma preocupação de que o próprio Databricks possa ser comprometido, o que pode resultar no comprometimento de seu ambiente. O Azure Databricks tem um programa de segurança extremamente forte que gerencia o risco de tal incidente. Consulte a Central de Segurança e Confiabilidade para obter uma visão geral do programa. Dito isso, nenhuma empresa pode eliminar completamente todos os riscos, e o Azure Databricks fornece recursos de criptografia para controle adicional de seus dados. Consulte Segurança e encriptação de dados.

Gestão de segredos

Às vezes, o acesso aos dados requer que você se autentique em fontes de dados externas. O Databricks recomenda que você use os segredos do Databricks para armazenar suas credenciais em vez de inseri-las diretamente em um bloco de anotações. Para obter mais informações, consulte Gerenciamento secreto.

Auditoria, privacidade e conformidade

O Azure Databricks fornece recursos de auditoria para permitir que os administradores monitorem as atividades do usuário para detetar anomalias de segurança. Por exemplo, você pode controlar a conta alertando sobre horários incomuns de logins ou logins remotos simultâneos.

Para obter mais informações, consulte Auditoria, privacidade e conformidade.

Ferramenta de Análise de Segurança

Importante

A Ferramenta de Análise de Segurança (SAT) é uma ferramenta de produtividade em estado Experimental . Ele não deve ser usado como uma certificação de suas implantações. O projeto SAT é atualizado regularmente para melhorar a correção das verificações, adicionar novas verificações e corrigir bugs.

Você pode usar a Ferramenta de Análise de Segurança (SAT) para analisar suas configurações de segurança de conta e espaço de trabalho do Azure Databricks. O SAT fornece recomendações que ajudam você a seguir as práticas recomendadas de segurança do Databricks. O SAT normalmente é executado diariamente como um fluxo de trabalho automatizado. Os detalhes desses resultados de verificação são mantidos em tabelas Delta em seu armazenamento para que as tendências possam ser analisadas ao longo do tempo. Esses resultados são exibidos em um painel centralizado do Azure Databricks.

Para obter mais informações, consulte o repositório GitHub da Ferramenta de Análise de Segurança.

Security Analysis Tool diagram

Mais informações

Aqui estão alguns recursos para ajudá-lo a criar uma solução de segurança abrangente que atenda às necessidades da sua organização:

  • A Central de Segurança e Confiabilidade do Databricks, que fornece informações sobre as maneiras pelas quais a segurança é incorporada em cada camada da plataforma Databricks.
  • As Práticas Recomendadas de Segurança, que fornecem uma lista de verificação de práticas, considerações e padrões de segurança que você pode aplicar à sua implantação, aprenderam com nossos compromissos corporativos.