Azure Databricks y la seguridad
Azure Databricks es una plataforma de análisis de datos optimizada para plataformas para los servicios en la nube de Azure. Ofrece tres entornos para desarrollar aplicaciones con un uso intensivo de datos:
Para más información sobre cómo mejora Azure Databricks la seguridad del análisis de macrodatos, consulte Conceptos de ingeniería y ciencia de datos de Azure Databricks.
En las secciones siguientes, se incluyen consideraciones de diseño, una lista de comprobación de configuración y opciones de configuración recomendadas específicas de Azure Databricks.
Consideraciones de diseño
Los cuadernos y los resultados de los cuadernos de todos los usuarios se cifran en reposo de manera predeterminada. Si existen otros requisitos, considere la posibilidad de usar claves administradas por el cliente para los cuadernos.
Lista de comprobación
¿Ha configurado Azure Databricks teniendo en cuenta la seguridad?
- Use el paso directo de credenciales de Id. de Entra de Microsoft para evitar la necesidad de entidades de servicio al comunicarse con Azure Data Lake Storage.
- Aísle las áreas de trabajo, el proceso y los datos del acceso público. Asegúrese de que solo tengan acceso las personas correctas y solo mediante canales seguros.
- Asegúrese de que solo los usuarios administrados correctamente puedan acceder a las áreas de trabajo en la nube para el análisis.
- Implemente Azure Private Link.
- Restrinja y supervise las máquinas virtuales.
- Use listas de acceso IP dinámico para permitir que los administradores accedan a las áreas de trabajo solo desde sus redes corporativas.
- Use la funcionalidad de inserción de red virtual para habilitar escenarios más seguros.
- Use los registros de diagnóstico para auditar el acceso y los permisos del área de trabajo.
- Considere la posibilidad de usar la característica de conectividad segura del clúster y la arquitectura de red en estrella tipo hub-and-spoke para evitar la apertura de puertos y la asignación de direcciones IP públicas en los nodos del clúster.
Recomendaciones para la configuración
Consulte la siguiente tabla de recomendaciones para optimizar la configuración de Azure Databricks en cuanto a la seguridad:
| Recomendación | Descripción |
|---|---|
| Asegúrese de que solo los usuarios administrados correctamente puedan acceder a las áreas de trabajo en la nube para el análisis. | Microsoft Entra ID puede controlar el inicio de sesión único para el acceso remoto. Para mayor seguridad, consulte Acceso condicional. |
| Implemente Azure Private Link. | Asegúrese de que todo el tráfico entre los usuarios de la plataforma, los cuadernos y los clústeres de proceso que procesan las consultas se cifre y transmita mediante la red troncal del proveedor de nube, inaccesible para el mundo exterior. |
| Restrinja y supervise las máquinas virtuales. | Los clústeres, que ejecutan las consultas, deben tener acceso de red y SSH restringido para evitar la instalación de paquetes arbitrarios. Los clústeres solo deben usar imágenes que se examinen periódicamente en busca de vulnerabilidades. |
| Use la funcionalidad de inserción de red virtual para habilitar escenarios más seguros. | Por ejemplo: - Conexión a otros servicios de Azure mediante puntos de conexión de servicio. - Conexión a orígenes de datos locales, aprovechando las rutas definidas por el usuario. - Conexión a una aplicación virtual de red para inspeccionar todo el tráfico saliente y tomar medidas en función de reglas que permitan o denieguen el acceso. - Uso de DNS personalizado. - Implementación de clústeres de Azure Databricks en las redes virtuales existentes. |
| Use los registros de diagnóstico para auditar el acceso y los permisos del área de trabajo. | Use los registros de auditoría para ver la actividad con privilegios en un área de trabajo, el cambio de tamaño del clúster, y los archivos y las carpetas compartidos en el clúster. |
Artefactos de origen
Los artefactos de origen de Azure Databricks incluyen el blog de Databricks: Procedimientos recomendados para proteger una plataforma de datos de escala empresarial.
Paso siguiente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de