安全性指南

  • 發行項

本指南提供企業數據小組根據其風險配置檔和治理原則,用來強化其 Azure Databricks 環境的安全性特性和功能概觀。

本指南未涵蓋保護數據的相關信息。 如需該資訊,請參閱 使用 Unity 目錄進行數據控管。

驗證和存取控制

在 Azure Databricks 中, 工作區 是雲端中的 Azure Databricks 部署,可作為一組指定使用者用來存取其所有 Azure Databricks 資產的統一環境。 根據您的需求,組織可以選擇擁有多個工作區或只有一個工作區。 Azure Databricks 帳戶 代表單一實體,用於計費、使用者管理和支援。 帳戶可以包含多個工作區和 Unity 目錄中繼存放區。

帳戶管理員會處理一般帳戶管理,而工作區系統管理員則會管理帳戶中個別工作區的設定和功能。 帳戶和工作區系統管理員都會管理 Azure Databricks 用戶、服務主體和群組,以及驗證設定和訪問控制。

Azure Databricks 提供安全性功能,例如單一登錄,以設定強式驗證。 管理員 可以設定這些設定來協助防止帳戶接管,其中屬於使用者的認證會使用網路釣魚或暴力密碼破解等方法遭到入侵,讓攻擊者能夠存取從環境存取的所有數據。

訪問控制清單會決定誰可以檢視及執行 Azure Databricks 工作區中對象的作業,例如筆記本和 SQL 倉儲。

若要深入瞭解 Azure Databricks 中的驗證和訪問控制,請參閱 驗證和訪問控制

網路

Azure Databricks 提供網路保護,可讓您保護 Azure Databricks 工作區,並協助防止使用者外流敏感數據。 您可以使用IP存取清單來強制執行 Azure Databricks 使用者的網路位置。 使用 VNet 插入式攻擊(客戶管理的 VNet),您可以鎖定輸出網路存取。 若要深入瞭解,請參閱 網路功能

資料安全性與加密

安全性思維的客戶有時會擔心 Databricks 本身可能會遭到入侵,這可能會導致其環境遭到入侵。 Azure Databricks 具有非常強大的安全性計劃,可管理這類事件的風險。 如需計劃的概觀,請參閱安全性和信任中心。 也就是說,任何公司都無法完全消除所有風險,而 Azure Databricks 提供加密功能以進一步控制您的數據。 請參閱 資料安全性和加密

秘密管理

有時候存取數據需要向外部數據源進行驗證。 Databricks 建議您使用 Databricks 秘密來儲存認證,而不是直接將認證輸入筆記本。 如需詳細資訊,請參閱 秘密管理

稽核、隱私權和合規性

Azure Databricks 提供稽核功能,讓系統管理員能夠監視用戶活動,以偵測安全性異常。 例如,您可以藉由警示登入或同時進行遠端登錄,來取得單一帳戶接管。

如需詳細資訊,請參閱 稽核、隱私權和合規性

安全性分析工具

重要

安全性分析工具 (SAT) 是實驗狀態的生產力工具。 它不打算用來作為部署的認證。 SAT 專案會定期更新,以改善檢查的正確性、新增檢查,並修正錯誤。

您可以使用安全性分析工具 (SAT) 來分析 Azure Databricks 帳戶和工作區安全性設定。 SAT 提供的建議可協助您遵循 Databricks 安全性最佳做法。 SAT 通常會以自動化工作流程的形式每天執行。 這些檢查結果的詳細數據會保存在記憶體中的 Delta 數據表中,以便隨時間分析趨勢。 這些結果會顯示在集中式 Azure Databricks 儀錶板中。

如需詳細資訊,請參閱 安全性分析工具 GitHub 存放庫

Security Analysis Tool diagram

深入了解

以下是一些資源,可協助您建置符合組織需求的完整安全性解決方案: