Freigeben über

Bewährte Methoden für Sicherheit, Compliance und Datenschutz

Das Azure Databricks Security Best Practices and Threat Model kann als PDF-Dokument aus dem Security & Trust Center heruntergeladen werden. In den Abschnitten in diesem Artikel sind die bewährten Methoden aufgeführt, die in der PDF-Datei entlang der Grundsätze dieser Säule zu finden sind.

1. Verwalten Sie Identität und Zugriff nach dem Prinzip der geringsten Rechte

  • Nutzen der mehrstufigen Authentifizierung
  • Verwenden von SCIM zum Synchronisieren von Benutzern und Gruppen
  • Beschränken der Anzahl von Administratorbenutzern
  • Durchsetzung der Trennung der Verantwortlichkeiten zwischen administrativen Konten
  • Einschränken von Arbeitsbereichsadministratoren
  • Verwalten des Zugriffs gemäß dem Prinzip der geringsten Rechte
  • Verwenden der OAuth- oder Azure Entra ID-Tokenauthentifizierung
  • Durchsetzung der Tokenverwaltung
  • Einschränken von Clustererstellungsrechten
  • Verwenden von Computerichtlinien
  • Verwenden Sie Dienstprinzipale zum Ausführen von Verwaltungsaufgaben und Produktionsworkloads
  • Verwenden Sie Rechnerkapazitäten, die die Benutzerisolation unterstützen
  • Sicheres Speichern und Verwenden von geheimen Schlüsseln

Details finden Sie in der PDF-Datei, auf die zu Beginn dieses Artikels verwiesen wird.

2. Schützen von Daten während der Übertragung und im Ruhezustand

  • Zentrale Datengovernance mit Unity-Katalog
  • Verwenden von azure Managed Identities für den Zugriff auf Speicher
  • Planen des Datenisolationsmodells
  • Vermeiden des Speicherns von Produktionsdaten in DBFS
  • Konfigurieren von Azure Storage-Firewalls
  • Verhindern des anonymen Lesezugriffs und Anwenden anderer Schutzmaßnahmen
  • Aktivierung von Soft Deletes und anderen Datenschutzfunktionen
  • Sichern Ihrer Azure Storage-Daten
  • Konfigurieren von vom Kunden verwalteten Schlüsseln für verwaltete Dienste
  • Konfigurieren von vom Kunden verwalteten Schlüsseln für den Speicher
  • Verwenden der Delta-Freigabe
  • Die Lebensdauer eines Delta-Sharing-Empfänger-Tokens konfigurieren
  • Verschlüsseln Sie zusätzlich vertrauliche Daten im Ruhezustand mithilfe des Advanced Encryption Standard (AES).
  • Nutzen von Datenexfiltrationsschutzeinstellungen innerhalb des Arbeitsbereichs
  • Verwenden von Clean Rooms für die Zusammenarbeit in einer datenschutzsicheren Umgebung

Details finden Sie in der PDF-Datei, auf die zu Beginn dieses Artikels verwiesen wird.

3. Sichern Ihres Netzwerks und Schützen von Endpunkten

  • Sichere Clusterkonnektivität verwenden (keine öffentliche IP)
  • Bereitstellen von Azure Databricks in Ihrem eigenen virtuellen Azure-Netzwerk
  • Konfigurieren von IP-Zugriffslisten
  • Verwenden von Azure PrivateLink
  • Implementieren Sie Netzwerkexfiltrationsschutz
  • Isolieren von Azure Databricks-Arbeitsbereichen in verschiedene Netzwerke
  • Konfigurieren einer Firewall für serverlosen Computezugriff
  • Einschränken des Zugriffs auf wertvolle Codebasen auf nur vertrauenswürdige Netzwerke
  • Verwenden der Verschlüsselung des virtuellen Netzwerks

Details finden Sie in der PDF-Datei, auf die zu Beginn dieses Artikels verwiesen wird.

4. Einhaltung der Compliance- und Datenschutzanforderungen

  • Rechner regelmäßig neu starten
  • Isolieren Sie vertrauliche Workloads in verschiedenen Arbeitsbereichen
  • Zuweisen von Sicherheitsressourcen im Unity-Katalog zu spezifischen Arbeitsbereichen
  • Implementierung fein abgestimmter Zugriffssteuerungen
  • Tags anwenden
  • Verwenden von Linien
  • Verwenden Sie die erweiterte Sicherheitsüberwachung oder das Compliance-Sicherheitsprofil
  • Steuern und Überwachen des Arbeitsbereichzugriffs für Azure Databricks-Mitarbeiter
  • Implementieren und Testen einer Notfallwiederherstellungsstrategie
  • Berücksichtigen Sie die Verwendung von Azure Confidential Compute

Details finden Sie in der PDF-Datei, auf die zu Beginn dieses Artikels verwiesen wird.

5. Überwachen der Systemsicherheit

  • Nutzen von Systemtabellen
  • Überwachen von Systemaktivitäten über Azure-Protokolle
  • Aktivieren von ausführlicher Überwachungsprotokollierung
  • Verwalten von Codeversionen mit Git-Ordnern
  • Einschränken der Verwendung auf vertrauenswürdige Coderepositorys
  • Bereitstellen der Infrastruktur über Infrastruktur als Code
  • Verwalten von Code über CI/CD
  • Installation der Steuerelementbibliothek
  • Modelle und Daten nur aus vertrauenswürdigen oder seriösen Quellen verwenden
  • Implementieren von DevSecOps-Prozessen
  • Verwenden der Lakehouseüberwachung
  • Verwenden Sie Rückschlusstabellen und AI Guardrails
  • Verwenden von Tagging als Teil Ihrer Kostenüberwachungs- und Charge-Back-Strategie
  • Verwenden von Budgets zum Überwachen der Kontoausgaben
  • Verwenden Sie Azure-Richtlinien, um Ressourcensteuerungen für Obergrenzen zu erstellen.

Details finden Sie in der PDF-Datei, auf die zu Beginn dieses Artikels verwiesen wird.

Zusätzliche Ressourcen

  • Überprüfen Sie das Sicherheits- und Vertrauenszentrum, um zu verstehen, wie Sicherheit in jede Ebene der Databricks Data Intelligence Platform integriert ist, und das gemeinsame Verantwortungsmodell, das unserer Arbeit zugrunde liegt.

- Laden Sie das Databricks AI Security Framework (DASF) herunter und überprüfen Sie es, um zu verstehen, wie KI-Sicherheitsbedrohungen basierend auf realen Angriffsszenarien abgemildert werden.