Datensicherheit und -verschlüsselung
In diesem Artikel werden Konfigurationen zur Datensicherheit vorgestellt, um Ihre Daten zu schützen.
Informationen zum Sichern des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.
Übersicht über Datensicherheit und -verschlüsselung
Azure Databricks bietet Verschlüsselungsfeatures zum Schutz Ihrer Daten. Nicht alle Sicherheitsfeatures sind in allen Tarifen verfügbar. Die folgende Tabelle enthält eine Übersicht über die Funktionen und ihre Zuordnung zu den Tarifen.
| Feature | Tarif |
|---|---|
| Vom Kunden verwaltete Schlüssel für die Verschlüsselung | Premium |
| Verschlüsseln des Datenverkehrs zwischen Cluster-Workerknoten | Premium |
| Mehrfachverschlüsselung für DBFS-Stamm | Premium |
| Verschlüsseln von Abfragen, Abfrageverläufen und Abfrageergebnissen | Premium |
Ermöglichen der Verwendung kundenseitig verwalteter Schlüssel für die Verschlüsselung
Azure Databricks unterstützt das Hinzufügen eines kundenseitig verwalteten Schlüssels, um Daten zu schützen und den Datenzugriff zu steuern. Azure Databricks unterstützt kundenseitig verwaltete Schlüssel aus Azure Key Vault-Tresoren und Azure Key Vault Managed HSM (Hardware Security Modules). Es gibt drei kundenseitig verwaltete Schlüsselfeatures für verschiedene Arten von Daten:
Kundenseitig verwaltete Schlüssel für verwaltete Datenträger: Azure Databricks-Computeworkloads auf Computeebene speichern temporäre Daten auf verwalteten Azure-Datenträgern. Standardmäßig werden auf verwalteten Datenträgern gespeicherte Daten im Ruhezustand verschlüsselt, indem die serverseitige Verschlüsselung mit von Microsoft verwalteten Schlüsseln verwendet wird. Sie können für Ihren Azure Databricks-Arbeitsbereich einen eigenen Schlüssel für die Verschlüsselung verwalteter Datenträger konfigurieren. Siehe Kundenseitig verwaltete Schlüssel für verwaltete Azure-Datenträger.
Kundenseitig verwaltete Schlüssel für verwaltete Dienste: Daten von verwalteten Diensten auf Azure Databricks-Steuerungsebene werden im Ruhezustand verschlüsselt. Sie können einen vom Kunden verwalteten Schlüssel für verwaltete Dienste hinzufügen, um den Zugriff auf die folgenden Typen verschlüsselter Daten zu schützen und zu steuern:
- Auf Steuerungsebene gespeicherte Notebookquelldateien
- Notebookergebnisse für auf Steuerungsebene gespeicherte Notebooks
- Durch die APIs des Geheimnismanagers gespeicherte Geheimnisse.
- Databricks SQL Abfragen und Abfrageverlauf.
- Persönliche Zugriffstoken oder andere Anmeldeinformationen werden zum Einrichten der Git-Integration mit Databricks-Git-Ordnern verwendet.
Siehe Kundenseitig verwaltete Schlüssel für verwaltete Dienste.
Kundenseitig verwaltete Schlüssel für den DBFS-Stamm: Das Speicherkonto wird standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Sie können Ihren eigenen Schlüssel konfigurieren, um alle Daten im Stammspeicherkonto des Arbeitsbereichs zu verschlüsseln. Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel für DBFS-Stamm.
Weitere Informationen dazu, welche Features für kundenseitig verwaltete Schlüssel in Azure Databricks verschiedene Arten von Daten schützen, finden Sie unter Vom Kunden verwaltete Schlüssel für die Verschlüsselung.
Aktivieren von Mehrfachverschlüsselung für DBFS
Das Databricks-Dateisystem (Databricks File System, DBFS) ist ein verteiltes Dateisystem, das in einen Azure Databricks-Arbeitsbereich eingebunden und in Azure Databricks-Clustern verfügbar ist. DBFS wird als Speicherkonto in der verwalteten Ressourcengruppe Ihres Azure Databricks-Arbeitsbereichs implementiert. Der Standardspeicherort in DBFS wird als DBFS-Stamm bezeichnet.
Azure Storage verschlüsselt automatisch alle Daten in einem Speicherkonto. Das gilt auch für DBFS-Stammspeicher. Optional können Sie die Verschlüsselung auf Azure Storage-Infrastrukturebene aktivieren. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden Daten in einem Speicherkonto zweimal, einmal auf dem Servicelevel und einmal auf der Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Weitere Informationen zum Bereitstellen eines Arbeitsbereichs mit Infrastrukturverschlüsselung finden Sie unter Konfigurieren der Mehrfachverschlüsselung für den DBFS-Stamm.
Verschlüsseln von Abfragen, Abfrageverlauf und Abfrageergebnissen
Sie können Ihren eigenen Schlüssel aus Azure Key Vault verwenden, um Databricks SQL-Abfragen und Ihren auf der Steuerungsebene von Azure Databricks gespeicherten Verlauf zu verschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln von Abfragen, Abfrageverlauf und Abfrageergebnissen
Verschlüsseln des Datenverkehrs zwischen Cluster-Workerknoten
Benutzerabfragen und Transformationen werden in der Regel über einen verschlüsselten Kanal an Ihre Cluster gesendet. Standardmäßig werden die zwischen Workerknoten in einem Cluster ausgetauschten Daten nicht verschlüsselt. Wenn Ihre Umgebung erfordert, dass Daten jederzeit verschlüsselt werden, unabhängig davon, ob sie ruhen oder übertragen werden, können Sie ein Init-Skript erstellen, das Ihre Cluster für die Verschlüsselung des Datenverkehrs zwischen Workerknoten konfiguriert, indem Sie die AES-128-Bit-Verschlüsselung über eine TLS 1.2-Verbindung verwenden. Weitere Informationen finden Sie unter Verschlüsseln des Datenverkehrs zwischen Cluster-Workerknoten.
Verwalten von Arbeitsbereichseinstellungen
Azure Databricks-Arbeitsbereichsadministratoren können die Sicherheitseinstellungen ihres Arbeitsbereichs verwalten, z. B. die Möglichkeit, Notebooks herunterzuladen und den Zugriffsmodus für den Benutzerisolationscluster zu erzwingen. Weitere Informationen finden Sie unter Verwalten Ihres Arbeitsbereichs.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für