Säkerhetsguide
Den här guiden ger en översikt över säkerhetsfunktioner och funktioner som ett företagsdatateam kan använda för att härda sin Azure Databricks-miljö enligt riskprofilen och styrningsprincipen.
Den här guiden beskriver inte information om hur du skyddar dina data. Mer information finns i Datastyrning med Unity Catalog.
Autentisering och åtkomstproblem
I Azure Databricks är en arbetsyta en Azure Databricks-distribution i molnet som fungerar som den enhetliga miljö som en angiven uppsättning användare använder för att komma åt alla sina Azure Databricks-tillgångar. Din organisation kan välja att ha flera arbetsytor eller bara en, beroende på dina behov. Ett Azure Databricks-konto representerar en enda entitet för fakturering, användarhantering och support. Ett konto kan innehålla flera arbetsytor och Unity Catalog-metaarkiv.
Kontoadministratörer hanterar allmän kontohantering och arbetsyteadministratörer hanterar inställningarna och funktionerna för enskilda arbetsytor i kontot. Både konto- och arbetsyteadministratörer hanterar Azure Databricks-användare, tjänstens huvudnamn och grupper samt autentiseringsinställningar och åtkomstkontroll.
Azure Databricks tillhandahåller säkerhetsfunktioner, till exempel enkel inloggning, för att konfigurera stark autentisering. Administratörer kan konfigurera de här inställningarna för att förhindra kontoövertaganden, där autentiseringsuppgifter som tillhör en användare komprometteras med metoder som nätfiske eller råstyrke, vilket ger en angripare åtkomst till alla data som är tillgängliga från miljön.
Åtkomstkontrollistor avgör vem som kan visa och utföra åtgärder på objekt i Azure Databricks-arbetsytor, till exempel notebook-filer och SQL-lager.
Mer information om autentisering och åtkomstkontroll i Azure Databricks finns i Autentisering och åtkomstkontroll.
Nätverk
Azure Databricks tillhandahåller nätverksskydd som gör att du kan skydda Azure Databricks-arbetsytor och förhindra att användare exfiltraterar känsliga data. Du kan använda IP-åtkomstlistor för att framtvinga nätverksplatsen för Azure Databricks-användare. Med VNet-inmatning (ett kundhanterat VNet) kan du låsa utgående nätverksåtkomst. Mer information finns i Nätverk.
Datasäkerhet och kryptering
Säkerhetsmedvetna kunder uttrycker ibland en oro för att Själva Databricks kan komma att komprometteras, vilket kan leda till att deras miljö komprometteras. Azure Databricks har ett extremt starkt säkerhetsprogram som hanterar risken för en sådan incident. Se Security and Trust Center för en översikt över programmet. Med det sagt kan inget företag helt eliminera alla risker, och Azure Databricks tillhandahåller krypteringsfunktioner för ytterligare kontroll av dina data. Se Datasäkerhet och kryptering.
Hemlighetshantering
Ibland kräver åtkomst till data att du autentiserar till externa datakällor. Databricks rekommenderar att du använder Databricks-hemligheter för att lagra dina autentiseringsuppgifter i stället för att ange dina autentiseringsuppgifter direkt i en notebook-fil. Mer information finns i Hemlig hantering.
Granskning, sekretess och efterlevnad
Azure Databricks tillhandahåller granskningsfunktioner så att administratörer kan övervaka användaraktiviteter för att identifiera säkerhetsavvikelser. Du kan till exempel göra kontoövertaganden med monitior genom att varna vid ovanlig tidpunkt för inloggningar eller samtidiga fjärrinloggningar.
Mer information finns i Granskning, sekretess och efterlevnad.
Verktyg för säkerhetsanalys
Viktigt!
Säkerhetsanalysverktyget (SAT) är ett produktivitetsverktyg i ett experimentellt tillstånd. Det är inte avsett att användas som certifiering av dina distributioner. SAT-projektet uppdateras regelbundet för att förbättra kontrollernas korrekthet, lägga till nya kontroller och åtgärda buggar.
Du kan använda säkerhetsanalysverktyget (SAT) för att analysera säkerhetskonfigurationerna för ditt Azure Databricks-konto och din arbetsyta. SAT ger rekommendationer som hjälper dig att följa bästa praxis för Databricks-säkerhet. SAT körs vanligtvis dagligen som ett automatiserat arbetsflöde. Informationen om dessa kontrollresultat sparas i Delta-tabeller i lagringen så att trender kan analyseras över tid. Dessa resultat visas på en centraliserad Azure Databricks-instrumentpanel.
Mer information finns i GitHub-lagringsplatsen för säkerhetsanalysverktyget.
Läs mer
Här följer några resurser som hjälper dig att skapa en omfattande säkerhetslösning som uppfyller organisationens behov:
- Databricks Security and Trust Center, som innehåller information om hur säkerheten är inbyggd i varje lager av Databricks-plattformen.
- Metodtips för säkerhet, som innehåller en checklista med säkerhetsmetoder, överväganden och mönster som du kan använda för din distribution, som du har lärt dig från våra företagsuppgifter.