Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los procedimientos recomendados de seguridad y el modelo de amenazas de Azure Databricks se pueden descargar como un documento PDF del Centro de seguridad y confianza. En las secciones de este artículo se enumeran los procedimientos recomendados que se pueden encontrar en el PDF a lo largo de los principios de este pilar.
1. Administración de identidades y acceso con privilegios mínimos
- Aprovechamiento de la autenticación multifactor
- Uso de SCIM para sincronizar usuarios y grupos
- Limitar el número de usuarios administradores
- Exigir la segregación de obligaciones entre cuentas administrativas
- Restringir administradores del área de trabajo
- Administrar el acceso según el principio de privilegios mínimos
- Utilizar la autenticación con tokens de OAuth o Azure Entra ID
- Aplicación de la administración de tokens
- Restricción de los derechos de creación de clústeres
- Uso de políticas de computación
- Uso de entidades de servicio para ejecutar tareas administrativas y cargas de trabajo de producción
- Utilice recursos computacionales que admiten el aislamiento del usuario
- Almacenar y usar secretos de forma segura
Los detalles se encuentran en el PDF al que se hace referencia al principio de este artículo.
2. Protección de datos en tránsito y en reposo
- Centralización de la gobernanza de datos con Unity Catalog
- Uso de identidades administradas de Azure para acceder al almacenamiento
- Planeamiento del modelo de aislamiento de datos
- Evitar almacenar datos de producción en DBFS
- Configuración de firewalls de Azure Storage
- Impedir el acceso de lectura anónimo y aplicar otras protecciones
- Habilitación de eliminaciones temporales y otras características de protección de datos
- Copia de seguridad de los datos de Azure Storage
- Configuración de claves administradas por el cliente para servicios administrados
- Configuración de claves administradas por el cliente para el almacenamiento
- Uso compartido de Delta
- Configurar el tiempo de vida del token de destinatario de Delta Sharing
- Además, cifre datos confidenciales en reposo mediante Advanced Encryption Standard (AES)
- Aprovechamiento de la configuración de prevención de filtración de datos en el área de trabajo
- Uso de salas limpias para colaborar en un entorno seguro para la privacidad
Los detalles se encuentran en el PDF al que se hace referencia al principio de este artículo.
3. Proteger la red y proteger los puntos de conexión
- Uso de conectividad segura de clústeres (sin dirección IP pública)
- Implementación de Azure Databricks en su propia red virtual de Azure
- Configurar listas de acceso IP
- Uso de Azure PrivateLink
- Implementación de protecciones de filtración de red
- Aislamiento de áreas de trabajo de Azure Databricks en diferentes redes
- Configuración de un firewall para el acceso a procesos sin servidor
- Restringir el acceso a bases de código valiosas solo a redes de confianza
- Uso del cifrado de red virtual
Los detalles se encuentran en el PDF al que se hace referencia al principio de este artículo.
4. Cumplir los requisitos de cumplimiento y privacidad de los datos
- Reiniciar el procesamiento según una programación regular
- Aislamiento de cargas de trabajo confidenciales en diferentes áreas de trabajo
- Asignar elementos protegibles de Unity Catalog a áreas de trabajo específicas
- Implementación de controles de acceso específicos
- Aplicar etiquetas
- Uso del linaje
- Use la supervisión de seguridad mejorada o el perfil de seguridad de cumplimiento
- Control y supervisión del acceso al área de trabajo para el personal de Azure Databricks
- Implementación y prueba de una estrategia de recuperación ante desastres
- Tenga en cuenta el uso de Computación Confidencial de Azure
Los detalles se encuentran en el PDF al que se hace referencia al principio de este artículo.
5. Supervisar la seguridad del sistema
- Aprovechar las tablas del sistema
- Supervisión de las actividades del sistema a través de registros de Azure
- Habilitar registros de auditoría detallados
- Administración de versiones de código con carpetas de Git
- Restricción del uso a repositorios de código de confianza
- Aprovisionamiento de la infraestructura mediante infraestructura como código
- Administración de código a través de CI/CD
- Instalación de la biblioteca de control
- Usar modelos y datos solo de fuentes confiables o reputadas
- Implementación de procesos de DevSecOps
- Uso de la supervisión de Lakehouse
- Uso de tablas de inferencia y límites de protección de IA
- Uso del etiquetado como parte de la estrategia de supervisión de costes y recargos
- Uso de presupuestos para supervisar el gasto de la cuenta
- Uso de Azure Policy para crear controles de recursos de "límite superior"
Los detalles se encuentran en el PDF al que se hace referencia al principio de este artículo.
Recursos adicionales
- Revise el Centro de Seguridad y Confianza para comprender cómo se integra la seguridad en cada capa de la plataforma de inteligencia de datos de Databricks y el modelo de responsabilidad compartida bajo el cual operamos.
- Descargue y revise databricks AI Security Framework (DASF) para comprender cómo mitigar las amenazas de seguridad de inteligencia artificial en función de escenarios de ataque reales.