أمان البيانات والتشفير
تقدم هذه المقالة تكوينات أمان البيانات للمساعدة في حماية بياناتك.
للحصول على معلومات حول تأمين الوصول إلى بياناتك، راجع إدارة البيانات باستخدام كتالوج Unity.
يوفر Azure Databricks ميزات تشفير للمساعدة في حماية بياناتك. لا تتوفر جميع ميزات الأمان على جميع مستويات التسعير. يحتوي الجدول التالي على نظرة عامة على الميزات وكيفية محاذاتها لخطط التسعير.
ميزة | مستوى الأسعار |
---|---|
المفاتيح التي يديرها العميل للتشفير | متميز |
تشفير نسبة استخدام الشبكة بين عقد عامل نظام المجموعة | متميز |
التشفير المزدوج لجذر DBFS | متميز |
تشفير الاستعلامات ومحفوظات الاستعلام ونتائج الاستعلام | متميز |
يدعم Azure Databricks إضافة مفتاح يديره العميل للمساعدة في حماية الوصول إلى البيانات والتحكم فيه. يدعم Azure Databricks المفاتيح التي يديرها العملاء من مخازن Azure Key Vault ووحدات أمان الأجهزة المدارة في Azure Key Vault (HSMs). هناك ثلاث ميزات رئيسية يديرها العميل للأنوع المختلفة من البيانات:
المفاتيح التي يديرها العميل للأقراص المدارة: أحمال عمل حساب Azure Databricks في وحدة الحوسبة تخزن البيانات المؤقتة على أقراص Azure المدارة. بشكل افتراضي، يتم تشفير البيانات المخزنة على الأقراص المدارة في حالة الثبات باستخدام التشفير من جانب الخادم باستخدام مفاتيح تديرها Microsoft. يمكنك تكوين المفتاح الخاص بك لمساحة عمل Azure Databricks لاستخدامها لتشفير القرص المدار. راجع المفاتيح المدارة من قبل العميل للأقراص المدارة من Azure.
المفاتيح المدارة من قبل العملاء للخدمات المدارة: يتم تشفير بيانات الخدمات المدارة في مستوى التحكم Azure Databricks في حالة الراحة. يمكنك إضافة مفتاح مدار من قبل العميل للخدمات المدارة للمساعدة في حماية الوصول إلى الأنواع التالية من البيانات المشفرة والتحكم فيها:
- ملفات مصدر دفتر الملاحظات المخزنة في مستوى التحكم.
- نتائج دفتر الملاحظات لدفاتر الملاحظات المخزنة في مستوى التحكم.
- البيانات السرية المخزنة بواسطة واجهات برمجة تطبيقات مدير البيانات السرية.
- استعلامات Databricks SQL ومحفوظات الاستعلام.
- رموز الوصول الشخصية أو بيانات الاعتماد الأخرى المستخدمة لإعداد تكامل Git مع مجلدات Databricks Git.
راجع المفاتيح المدارة من قبل العملاء للخدمات المدارة.
المفاتيح التي يديرها العميل لجذر DBFS: بشكل افتراضي، يتم تشفير حساب التخزين باستخدام مفاتيح تديرها Microsoft. يمكنك تكوين المفتاح الخاص بك لتشفير جميع البيانات في حساب تخزين مساحة العمل. لمزيد من المعلومات، راجع المفاتيح التي يديرها العميل لجذر DBFS.
لمزيد من التفاصيل حول الميزات الرئيسية التي يديرها العميل في Azure Databricks التي تحمي أنواعا مختلفة من البيانات، راجع المفاتيح التي يديرها العميل للتشفير.
نظام ملفات Databricks (DBFS) هو نظام ملفات موزع مثبت في مساحة عمل Azure Databricks ومتاح على مجموعات Azure Databricks. يتم تنفيذ DBFS كحساب تخزين في مجموعة الموارد المدارة لمساحة عمل Azure Databricks. يعرف الموقع الافتراضي في DBFS باسم جذر DBFS.
يقوم Azure Storage تلقائيا بتشفير جميع البيانات في حساب تخزين، بما في ذلك تخزين جذر DBFS. يمكنك تمكين التشفير اختياريا على مستوى البنية الأساسية ل Azure Storage. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، مع خوارزميتين مختلفتين للتشفير ومفاتيحين مختلفين. لمعرفة المزيد حول نشر مساحة عمل باستخدام تشفير البنية الأساسية، راجع تكوين التشفير المزدوج لجذر DBFS.
يمكنك استخدام المفتاح الخاص بك من Azure Key Vault لتشفير استعلامات Databricks SQL ومحفوظات الاستعلام المخزنة في وحدة التحكم Azure Databricks. لمزيد من التفاصيل، راجع تشفير الاستعلامات ومحفوظات الاستعلام ونتائج الاستعلام
عادة ما يتم إرسال استعلامات المستخدم والتحويلات إلى مجموعاتك عبر قناة مشفرة. ومع ذلك، بشكل افتراضي، لا يتم تشفير البيانات المتبادلة بين العقد العاملة في نظام مجموعة. إذا كانت بيئتك تتطلب تشفير البيانات في جميع الأوقات، سواء كانت ثابتة أو أثناء النقل، يمكنك إنشاء برنامج نصي init يقوم بتكوين مجموعاتك لتشفير نسبة استخدام الشبكة بين العقد العاملة، باستخدام تشفير AES 128 بت عبر اتصال TLS 1.2. لمزيد من المعلومات، راجع تشفير نسبة استخدام الشبكة بين عقد عامل نظام المجموعة.
يمكن لمسؤولي مساحة عمل Azure Databricks إدارة إعدادات أمان مساحة العمل الخاصة بهم، مثل القدرة على تنزيل دفاتر الملاحظات وفرض وضع الوصول إلى مجموعة عزل المستخدم. لمزيد من المعلومات، راجع إدارة مساحة العمل.