Adatbiztonság és titkosítás
Ez a cikk adatbiztonsági konfigurációkat mutat be az adatok védelme érdekében.
Az adatokhoz való hozzáférés biztonságossá tételével kapcsolatos információkért tekintse meg az adatszabályozást a Unity Katalógusban.
Az adatbiztonság és a titkosítás áttekintése
Az Azure Databricks titkosítási funkciókat biztosít az adatok védelméhez. Nem minden biztonsági funkció érhető el minden tarifacsomagon. Az alábbi táblázat áttekintést nyújt a szolgáltatásokról és arról, hogyan igazodnak a tarifacsomagokhoz.
| Szolgáltatás | Tarifacsomag |
|---|---|
| Felhasználó által kezelt kulcsok titkosításhoz | Prémium |
| A fürt feldolgozó csomópontjai közötti forgalom titkosítása | Prémium |
| Dupla titkosítás a DBFS-gyökérhez | Prémium |
| A lekérdezések, a lekérdezési előzmények és a lekérdezési eredmények titkosítása | Prémium |
Ügyfél által felügyelt kulcsok engedélyezése titkosításhoz
Az Azure Databricks támogatja az ügyfél által felügyelt kulcs hozzáadását az adatok védelméhez és szabályozásához. Az Azure Databricks támogatja az Ügyfél által felügyelt kulcsokat az Azure Key Vault-tárolókból és az Azure Key Vault felügyelt hardveres biztonsági moduljaiból (HSM-ekből). A különböző típusú adatokhoz három ügyfél által felügyelt kulcsfunkció érhető el:
Felügyelt lemezek ügyfél által felügyelt kulcsai: Az Azure Databricks számítási feladatai a számítási síkban ideiglenes adatokat tárolnak az Azure által felügyelt lemezeken. Alapértelmezés szerint a kezelt lemezeken tárolt adatok titkosítása nyugalmi állapotban a Microsoft által kezelt kulcsokkal történő kiszolgálóoldali titkosítással történik. Saját kulcsot konfigurálhat az Azure Databricks-munkaterülethez a felügyelt lemeztitkosításhoz. Tekintse meg az Azure által felügyelt lemezek ügyfél által felügyelt kulcsait.
Ügyfél által felügyelt kulcsok felügyelt szolgáltatásokhoz: Az Azure Databricks vezérlősíkján lévő felügyelt szolgáltatások adatai inaktív állapotban titkosítva vannak. A felügyelt szolgáltatásokhoz ügyfél által felügyelt kulcsot adhat hozzá a következő típusú titkosított adatok védelméhez és szabályozásához:
- A vezérlősíkon tárolt jegyzetfüzet-forrásfájlok.
- A vezérlési síkban tárolt jegyzetfüzetek eredményei.
- A titokkezelő API-k által tárolt titkok.
- Databricks SQL-lekérdezések és lekérdezési előzmények.
- A Git Databricks Git-mappákkal való integrációjának beállításához használt személyes hozzáférési jogkivonatok vagy egyéb hitelesítő adatok.
Tekintse meg a felügyelt szolgáltatások ügyfél által felügyelt kulcsait.
Ügyfél által felügyelt kulcsok a DBFS-gyökérhez: A tárfiók alapértelmezés szerint Microsoft által felügyelt kulcsokkal van titkosítva. A saját kulcsát úgy konfigurálhatja, hogy a munkaterület gyökértárfiókjában lévő összes adatot titkosítsa. További információ: Ügyfél által felügyelt kulcsok a DBFS-gyökérhez.
Az Azure Databricks ügyfél által felügyelt kulcsfunkcióinak különböző típusú adatok védelméről további információt az ügyfél által felügyelt kulcsok titkosítása című témakörben talál.
Dupla titkosítás engedélyezése a DBFS-hez
A Databricks fájlrendszer (DBFS) egy Azure Databricks-munkaterülethez csatlakoztatott elosztott fájlrendszer, amely Azure Databricks-fürtökön érhető el. A DBFS tárfiókként van implementálva az Azure Databricks-munkaterület felügyelt erőforráscsoportjában. A DBFS alapértelmezett helye a DBFS-gyökér.
Az Azure Storage automatikusan titkosítja a tárolófiókban lévő összes adatot, beleértve a DBFS gyökértárolót is. Opcionálisan engedélyezheti a titkosítást az Azure Storage infrastruktúra szintjén. Ha az infrastrukturális titkosítás engedélyezve van, a tárolási fiókban lévő adatok kétszer kerülnek titkosításra, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén, két különböző titkosítási algoritmussal és két különböző kulccsal. Ha többet szeretne megtudni egy munkaterület infrastruktúratitkosítással történő telepítéséről, olvassa el a Configure double encryption for DBFS rootcímű témakört.
Lekérdezések, lekérdezési előzmények és lekérdezési eredmények titkosítása
Az Azure Key Vault saját kulcsával titkosíthatja a Databricks SQL-lekérdezéseket és az Azure Databricks vezérlősíkban tárolt lekérdezési előzményeit. További részletekért lásd: A lekérdezések, a lekérdezési előzmények és a lekérdezési eredmények titkosítása
Fürtvégző csomópontok közötti forgalom titkosítása
A felhasználói lekérdezések és átalakítások általában titkosított csatornán keresztül érkeznek a fürtökre. Alapértelmezés szerint azonban a fürtön belül a munkáscsomópontok között kicserélt adatok nem titkosítottak. Ha a környezeted megköveteli, hogy az adatok mindig titkosítva legyenek, akár nyugalmi állapotban, akár útközben, akkor létrehozhatsz egy init szkriptet, amely úgy konfigurálja a fürtöket, hogy titkosítja a munkáscsomópontok közötti forgalmat, AES 128 bites titkosítással, TLS 1.2 kapcsolaton keresztül. További információ: Forgalom titkosítása fürtmunkacsomópontok között.
Munkaterület beállításainak kezelése
Az Azure Databricks-munkaterület rendszergazdái kezelhetik a munkaterület biztonsági beállításait, például a jegyzetfüzetek letöltését és a felhasználóelkülönítési fürt hozzáférési módjának kényszerítését. További információ: Munkaterület kezelése.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: