Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek představuje konfigurace zabezpečení dat, které pomáhají chránit vaše data.
Informace o zabezpečení přístupu k datům najdete v tématu Zásady správného řízení dat pomocí Azure Databricks.
Přehled zabezpečení a šifrování dat
Azure Databricks poskytuje funkce šifrování, které pomáhají chránit vaše data. Ne všechny funkce zabezpečení jsou k dispozici na všech cenových úrovních. Následující tabulka obsahuje přehled funkcí a jejich sladění s cenovými plány.
| Funkce | Cenová úroveň |
|---|---|
| Použití klíčů spravovaných zákazníkem k šifrování | Premium |
| Šifrování provozu mezi pracovními uzly clusteru | Premium |
| Dvojité šifrování kořenového adresáře DBFS | Premium |
| Šifrování dotazů, historie dotazů a výsledky dotazů | Premium |
Povolení klíčů spravovaných zákazníkem pro šifrování
Azure Databricks podporuje přidání klíče spravovaného zákazníkem, který pomáhá chránit a řídit přístup k datům. Azure Databricks podporuje klíče spravované zákazníkem z trezorů služby Azure Key Vault a modulů hsM (Managed Hardware Security Modules) služby Azure Key Vault. Existují tři klíčové funkce spravované zákazníkem pro různé typy dat:
Klíče spravované zákazníkem pro spravované disky: Výpočetní úlohy Azure Databricks ve výpočetní rovině ukládají dočasná data na spravovaných discích Azure. Ve výchozím nastavení se data uložená na spravovaných discích šifrují v klidovém stavu pomocí šifrování na straně serveru s klíči spravovanými společností Microsoft. Pro pracovní prostor Azure Databricks můžete nakonfigurovat vlastní klíč, který se použije pro šifrování spravovaných disků. Viz klíče spravované zákazníkem pro spravované disky Azure.
Klíče spravované zákazníkem pro spravované služby: Data spravovaných služeb v řídicí rovině Azure Databricks se šifrují v klidovém stavu. Můžete přidat klíč spravovaný zákazníkem pro spravované služby, který pomáhá chránit a řídit přístup k následujícím typům šifrovaných dat:
- Zdrojové soubory poznámkového bloku uložené v řídicí rovině
- Výsledky poznámkového bloku pro poznámkové bloky uložené v řídicí rovině.
- Tajné kódy uložené rozhraními API správce tajných kódů.
- Dotazy a historie dotazů SQL služby Databricks.
- Osobní přístupové tokeny nebo jiné přihlašovací údaje používané k nastavení integrace Gitu se složkami Git Databricks
Klíče spravované zákazníkem pro kořen DBFS: Ve výchozím nastavení je účet úložiště šifrovaný pomocí klíčů spravovaných Microsoftem. Můžete nakonfigurovat vlastní klíč pro šifrování všech dat v účtu úložiště pracovního prostoru. Další informace najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.
Další podrobnosti o tom, které klíčové funkce spravované zákazníkem v Azure Databricks chrání různé typy dat, najdete v tématu Klíče spravované zákazníkem pro šifrování.
Poznámka:
Přístup k datovým diskům Azure je zakázaný, aby se zlepšilo zabezpečení dat pro pracovní prostory Azure Databricks.
Povolení dvojitého šifrování pro DBFS
Systém souborů Databricks (DBFS) je distribuovaný systém souborů připojený k pracovnímu prostoru Azure Databricks a dostupný v clusterech Azure Databricks. DBFS se implementuje jako účet úložiště ve spravované skupině prostředků pracovního prostoru Azure Databricks. Výchozí umístění v DBFS se označuje jako kořen DBFS.
Azure Storage automaticky šifruje všechna data v účtu úložiště, včetně kořenového úložiště DBFS. Volitelně můžete povolit šifrování na úrovni infrastruktury služby Azure Storage. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Další informace o nasazení pracovního prostoru s šifrováním infrastruktury najdete v části Konfigurace dvojitého šifrování pro kořen DBFS.
Šifrování dotazů, historie dotazů a výsledků dotazů
Pomocí vlastního klíče ze služby Azure Key Vault můžete šifrovat dotazy SQL Databricks a historii dotazů uloženou v řídicí rovině Azure Databricks. Další podrobnosti najdete v části Šifrování dotazů, historie dotazů a výsledky dotazů
Šifrování provozu mezi pracovními uzly clusteru
Dotazy a transformace uživatelů se obvykle posílají do clusterů přes šifrovaný kanál. Ve výchozím nastavení se ale data vyměňovaná mezi pracovními uzly v clusteru nešifrují. Pokud vaše prostředí vyžaduje, aby data byla vždy zašifrovaná, ať už v klidu nebo při přenosu, můžete vytvořit inicializační skript, který nakonfiguruje clustery tak, aby šifroval síťový provoz mezi pracovními uzly pomocí šifrování AES s 128 bity přes spojení TLS 1.3. Další informace najdete v tématu Šifrování provozu mezi pracovními uzly clusteru.
Správa nastavení pracovního prostoru
Správci pracovního prostoru Azure Databricks můžou spravovat nastavení zabezpečení svého pracovního prostoru, například možnost stahovat poznámkové bloky a vynucovat režim přístupu clusteru izolace uživatele. Další informace najdete v tématu Správa pracovního prostoru.