Share via

Configuración del cifrado doble para la raíz de DBFS

  • Artículo

Nota:

Esta característica solo está disponible en el plan Premium.

El sistema de archivos de Databricks (DBFS) es un sistema de archivos distribuido montado en un área de trabajo de Azure Databricks y disponible en los clústeres de Azure Databricks. DBFS se implementa como una cuenta de almacenamiento en un grupo de recursos administrado en un área de trabajo de Azure Databricks. La ubicación de almacenamiento predeterminada de DBFS se conoce como la raíz de DBFS.

Azure Storage cifra automáticamente todos los datos de una cuenta de almacenamiento (incluido el almacenamiento raíz de DBFS) en el nivel de servicio mediante el cifrado AES (estándar de cifrado avanzado) de 256 bits. Es uno de los cifrados de bloques más sólidos disponibles y es compatible con FIPS 140-2. Los clientes que necesiten más seguridad de que sus datos estén seguros también pueden habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage. Cuando se habilita el cifrado de infraestructura, los datos de una cuenta de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. El doble cifrado de los datos de Azure Storage sirve de protección en caso de que uno de los algoritmos de cifrado o una de las claves puedan estar en peligro. En este escenario, la capa adicional de cifrado también protege los datos.

En este artículo se describe cómo crear un área de trabajo que agrega cifrado de infraestructura (y, por tanto, cifrado doble) para el almacenamiento raíz de un área de trabajo. Debe habilitar el cifrado de infraestructura en la creación del área de trabajo; no se puede agregar cifrado de infraestructura a un área de trabajo existente.

Requisitos

Cree un área de trabajo con cifrado doble mediante Azure Portal

Siga las instrucciones para crear un área de trabajo mediante Azure Portal en Inicio rápido: Ejecución de un trabajo de Spark en un área de trabajo de Azure Databricks mediante Azure Portal y agregue estos pasos:

  1. En PowerShell, ejecute los siguientes comandos, que le permitirán habilitar el cifrado de infraestructura en Azure Portal.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. En la página Crear un área de trabajo de Azure Databricks (Crear un recurso > Analytics > Azure Databricks), haga clic en la pestaña Opciones avanzadas.

  3. Junto a Habilitar cifrado de infraestructura, seleccione .

    Habilitación del cifrado doble en la creación del área de trabajo

  4. Cuando haya terminado la configuración del área de trabajo y creado el área de trabajo, compruebe que el cifrado de infraestructura está habilitado.

    En la página de recursos del área de trabajo de Azure Databricks, vaya al menú de la barra lateral y seleccione Configuración > Cifrado. Confirme que Habilitar cifrado de infraestructura está seleccionado.

    Verificación del cifrado doble después de la creación del área de trabajo

Creación de un área de trabajo con cifrado doble mediante PowerShell

Siga las instrucciones de Inicio rápido: Crear un área de trabajo de Azure Databricks mediante PowerShell, agregando la opción -RequireInfrastructureEncryption al comando que se ejecuta en el paso Crear un área de trabajo de Azure Databricks:

Por ejemplo,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Después de crear el área de trabajo, compruebe que el cifrado de infraestructura está habilitado ejecutando:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption se debe establecer en true.

Para más información sobre los cmdlets de PowerShell para las áreas de trabajo de Azure Databricks, consulte la referencia del módulo Az.Databricks.

Cree un área de trabajo con cifrado doble mediante el CLI de Azure

Al crear un área de trabajo mediante el CLI de Azure, incluya la opción --require-infrastructure-encryption.

Por ejemplo,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Después de crear el área de trabajo, compruebe que el cifrado de infraestructura está habilitado ejecutando:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

El campo requireInfrastructureEncryption debe estar presente en la propiedad de cifrado y establecerse en true.

Para obtener más información sobre los comandos de CLI de Azure para las áreas de trabajo de Azure Databricks, consulte la referencia de comandos de área de trabajo az databricks.