Zabezpečení a šifrování dat
Tento článek představuje konfigurace zabezpečení dat, které pomáhají chránit vaše data.
Informace o zabezpečení přístupu k datům najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.
Přehled zabezpečení a šifrování dat
Azure Databricks poskytuje funkce šifrování, které pomáhají chránit vaše data. Ne všechny funkce zabezpečení jsou k dispozici na všech cenových úrovních. Následující tabulka obsahuje přehled funkcí a jejich sladění s cenovými plány.
| Funkce | Cenová úroveň |
|---|---|
| Použití klíčů spravovaných zákazníkem k šifrování | Premium |
| Šifrování provozu mezi pracovními uzly clusteru | Premium |
| Dvojité šifrování kořenového adresáře DBFS | Premium |
| Šifrování dotazů, historie dotazů a výsledky dotazů | Premium |
Povolení klíčů spravovaných zákazníkem pro šifrování
Azure Databricks podporuje přidání klíče spravovaného zákazníkem, který pomáhá chránit a řídit přístup k datům. Azure Databricks podporuje klíče spravované zákazníkem z trezorů služby Azure Key Vault a modulů hsM (Managed Hardware Security Modules) služby Azure Key Vault. Existují tři klíčové funkce spravované zákazníkem pro různé typy dat:
Klíče spravované zákazníkem pro spravované disky: Výpočetní úlohy Azure Databricks ve výpočetní rovině ukládají dočasná data na spravovaných discích Azure. Ve výchozím nastavení se data uložená na spravovaných discích šifrují v klidovém stavu pomocí šifrování na straně serveru s klíči spravovanými společností Microsoft. Pro pracovní prostor Azure Databricks můžete nakonfigurovat vlastní klíč, který se použije pro šifrování spravovaných disků. Viz klíče spravované zákazníkem pro spravované disky Azure.
Klíče spravované zákazníkem pro spravované služby: Data spravovaných služeb v řídicí rovině Azure Databricks se šifrují v klidovém stavu. Můžete přidat klíč spravovaný zákazníkem pro spravované služby, který pomáhá chránit a řídit přístup k následujícím typům šifrovaných dat:
- Zdrojové soubory poznámkového bloku uložené v řídicí rovině
- Výsledky poznámkového bloku pro poznámkové bloky uložené v řídicí rovině.
- Tajné kódy uložené rozhraními API správce tajných kódů.
- Dotazy a historie dotazů SQL služby Databricks.
- Osobní přístupové tokeny nebo jiné přihlašovací údaje používané k nastavení integrace Gitu se složkami Git Databricks
Klíče spravované zákazníkem pro kořen DBFS: Ve výchozím nastavení je účet úložiště šifrovaný pomocí klíčů spravovaných Microsoftem. Můžete nakonfigurovat vlastní klíč pro šifrování všech dat v kořenovém účtu úložiště pracovního prostoru. Další informace najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.
Další podrobnosti o tom, které klíčové funkce spravované zákazníkem v Azure Databricks chrání různé typy dat, najdete v tématu Klíče spravované zákazníkem pro šifrování.
Povolení dvojitého šifrování pro DBFS
Systém souborů Databricks (DBFS) je distribuovaný systém souborů připojený k pracovnímu prostoru Azure Databricks a dostupný v clusterech Azure Databricks. DBFS se ve skupině spravovaných prostředků pracovního prostoru Azure Databricks implementuje jako účet úložiště. Výchozí umístění v DBFS se označuje jako kořen DBFS.
Azure Storage automaticky šifruje všechna data v účtu úložiště, včetně kořenového úložiště DBFS. Volitelně můžete povolit šifrování na úrovni infrastruktury služby Azure Storage. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Další informace o nasazení pracovního prostoru s šifrováním infrastruktury najdete v části Konfigurace dvojitého šifrování pro kořen DBFS.
Šifrování dotazů, historie dotazů a výsledků dotazů
Pomocí vlastního klíče ze služby Azure Key Vault můžete šifrovat dotazy SQL Databricks a historii dotazů uloženou v řídicí rovině Azure Databricks. Další podrobnosti najdete v části Šifrování dotazů, historie dotazů a výsledky dotazů
Šifrování provozu mezi pracovními uzly clusteru
Dotazy a transformace uživatelů se obvykle posílají do clusterů přes šifrovaný kanál. Ve výchozím nastavení se ale data vyměňovaná mezi pracovními uzly v clusteru nešifrují. Pokud vaše prostředí vyžaduje, aby se data zašifrovala vždy bez ohledu na to, jestli jsou neaktivní uložená nebo přenášená, můžete vytvořit inicializační skript, který nakonfiguruje clustery tak, aby šifroval přenos mezi pracovními uzly pomocí 128bitového šifrování AES přes připojení TLS 1.2. Další informace najdete v tématu Šifrování provozu mezi pracovními uzly clusteru.
Správa nastavení pracovního prostoru
Správci pracovního prostoru Azure Databricks můžou spravovat nastavení zabezpečení svého pracovního prostoru, například možnost stahovat poznámkové bloky a vynucovat režim přístupu clusteru izolace uživatele. Další informace najdete v tématu Správa pracovního prostoru.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro