Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini memperkenalkan konfigurasi keamanan data untuk membantu melindungi data Anda.
Untuk informasi tentang mengamankan akses ke data Anda, lihat Tata kelola data dengan Azure Databricks.
Gambaran umum keamanan dan enkripsi data
Azure Databricks menyediakan fitur enkripsi untuk membantu melindungi data Anda. Tidak semua fitur keamanan tersedia di semua tingkat harga. Tabel berikut memberikan gambaran umum tentang fitur-fitur dan bagaimana fitur-fitur tersebut sesuai dengan paket harga.
| Fitur | Tingkatan harga |
|---|---|
| Kunci yang dikelola pelanggan untuk enkripsi | Premi |
| Mengenkripsi lalu lintas antar node pekerja kluster | Premi |
| Enkripsi ganda untuk akar DBFS | Premi |
| Mengenkripsi kueri, riwayat kueri, dan hasil kueri | Premi |
Mengaktifkan kunci yang dikelola pelanggan untuk enkripsi
Azure Databricks mendukung penambahan kunci yang dikelola pelanggan untuk membantu melindungi dan mengontrol akses ke data. Azure Databricks mendukung kunci yang dikelola pelanggan dari brankas Azure Key Vault dan Modul Keamanan Perangkat Keras Terkelola (HSM) Azure Key Vault. Ada tiga fitur utama yang dikelola pelanggan untuk berbagai jenis data:
Kunci yang dikelola pelanggan untuk disk terkelola: Proses komputasi Azure Databricks di area pemrosesan menyimpan data sementara pada disk terkelola Azure. Secara default, data yang disimpan pada disk terkelola dienkripsi saat tidak aktif menggunakan enkripsi sisi server dengan kunci yang dikelola Microsoft. Anda dapat mengonfigurasi kunci Anda sendiri untuk ruang kerja Azure Databricks yang akan digunakan untuk enkripsi disk terkelola. Lihat Kunci yang dikelola pelanggan untuk disk terkelola Azure.
Kunci yang dikelola pelanggan untuk layanan terkelola: Data layanan terkelola di sarana kontrol Azure Databricks dienkripsi saat tidak aktif. Anda dapat menambahkan kunci yang dikelola pelanggan untuk layanan terkelola untuk membantu melindungi dan mengontrol akses ke jenis data terenkripsi berikut:
- File sumber notebook yang disimpan di lapisan kontrol.
- Hasil notebook untuk notebook yang disimpan di lapisan kontrol.
- Rahasia yang disimpan oleh API pengelola rahasia.
- Kueri SQL Databricks dan riwayat kueri.
- Token akses pribadi atau kredensial lain yang digunakan untuk menyiapkan integrasi Git dengan folder Databricks Git.
Lihat Kunci yang dikelola pelanggan untuk layanan terkelola.
Kunci yang dikelola pelanggan untuk akar DBFS: Secara default, akun penyimpanan dienkripsi dengan kunci yang dikelola Microsoft. Anda dapat mengonfigurasi kunci Anda sendiri untuk mengenkripsi semua data di akun penyimpanan ruang kerja. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk akar DBFS.
Untuk detail selengkapnya tentang fitur utama yang dikelola pelanggan di Azure Databricks yang melindungi berbagai jenis data, lihat Kunci yang dikelola pelanggan untuk enkripsi.
Nota
Akses jaringan publik ke disk data Azure dinonaktifkan untuk meningkatkan keamanan data untuk ruang kerja Azure Databricks.
Mengaktifkan enkripsi ganda untuk DBFS
Databricks File System (DBFS) adalah sistem file terdistribusi yang dipasang ke ruang kerja Azure Databricks dan tersedia di kluster Azure Databricks. DBFS diimplementasikan sebagai akun penyimpanan di grup sumber daya terkelola ruang kerja Azure Databricks Anda. Lokasi default di DBFS dikenal sebagai akar DBFS.
Azure Storage secara otomatis mengenkripsi semua data dalam akun penyimpanan, termasuk penyimpanan akar DBFS. Anda dapat mengaktifkan enkripsi secara opsional di tingkat infrastruktur Azure Storage. Ketika enkripsi infrastruktur diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda. Untuk mempelajari selengkapnya tentang menyebarkan ruang kerja dengan enkripsi infrastruktur, lihat Mengonfigurasi enkripsi ganda untuk akar DBFS.
Mengenkripsi kueri, riwayat kueri, dan hasil kueri
Anda dapat menggunakan kunci Anda sendiri dari Azure Key Vault untuk mengenkripsi kueri Databricks SQL dan riwayat kueri Anda yang disimpan di sarana kontrol Azure Databricks. Untuk detail selengkapnya, lihat Mengenkripsi kueri, riwayat kueri, dan hasil kueri
Mengenkripsi lalu lintas antar simpul pekerja kluster
Kueri dan transformasi pengguna biasanya dikirim ke kluster Anda melalui saluran terenkripsi. Namun, secara default, data yang dipertukarkan antara simpul pekerja dalam kluster tidak dienkripsi. Jika lingkungan Anda mengharuskan data dienkripsi setiap saat, baik saat tidak aktif maupun saat transit, Anda dapat membuat skrip init yang mengonfigurasi kluster Anda untuk mengenkripsi lalu lintas antara simpul pekerja menggunakan enkripsi AES 128-bit melalui koneksi TLS 1.3. Untuk informasi selengkapnya, lihat Mengenkripsi lalu lintas antar simpul pekerja kluster.
Mengelola pengaturan ruang kerja
Administrator ruang kerja Azure Databricks dapat mengelola pengaturan keamanan ruang kerja mereka, seperti kemampuan untuk mengunduh notebook dan memberlakukan mode akses kluster isolasi pengguna. Untuk informasi selengkapnya, lihat Mengelola ruang kerja Anda.