Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Databricks adalah platform analitik data yang dioptimalkan untuk layanan cloud Azure. Ini menawarkan tiga lingkungan untuk mengembangkan aplikasi intensif data:
Untuk mempelajari selengkapnya tentang bagaimana Azure Databricks meningkatkan keamanan analitik big data, referensikan konsep Azure Databricks.
Bagian berikut mencakup pertimbangan desain, daftar periksa konfigurasi, dan opsi konfigurasi yang direkomendasikan khusus untuk Azure Databricks.
Pertimbangan desain
Semua buku catatan pengguna dan hasil notebook dienkripsi saat tidak aktif, secara default. Jika persyaratan lain ada, pertimbangkan untuk menggunakan kunci yang dikelola pelanggan untuk notebook.
Daftar pengecekan
Sudahkah Anda mengonfigurasi Azure Databricks dengan ingat keamanan?
- Gunakan passthrough kredensial MICROSOFT Entra ID untuk menghindari kebutuhan perwakilan layanan saat berkomunikasi dengan Azure Data Lake Storage.
- Isolasi ruang kerja, komputasi, dan data Anda dari akses publik. Pastikan hanya orang yang tepat yang memiliki akses dan hanya melalui saluran yang aman.
- Pastikan bahwa ruang kerja cloud untuk analitik Anda hanya dapat diakses oleh pengguna yang dikelola dengan benar.
- Terapkan Azure Private Link.
- Batasi dan pantau komputer virtual Anda.
- Gunakan daftar akses IP Dinamis untuk memungkinkan admin mengakses ruang kerja hanya dari jaringan perusahaan mereka.
- Gunakan fungsionalitas injeksi VNet untuk mengaktifkan skenario yang lebih aman.
- Gunakan log diagnostik untuk mengaudit akses dan izin ruang kerja.
- Pertimbangkan untuk menggunakan fitur konektivitas kluster Aman dan arsitektur hub/spoke untuk mencegah port pembukaan, dan menetapkan alamat IP publik pada node kluster.
Rekomendasi konfigurasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi Azure Databricks Anda untuk keamanan:
| Rekomendasi | Deskripsi |
|---|---|
| Pastikan bahwa ruang kerja cloud untuk analitik Anda hanya dapat diakses oleh pengguna yang dikelola dengan benar. | Microsoft Entra ID dapat menangani single sign-on untuk akses jarak jauh. Untuk keamanan tambahan, rujuk Akses Kondisional. |
| Terapkan Azure Private Link. | Pastikan semua lalu lintas antara pengguna platform Anda, notebook, dan kluster komputasi yang memproses kueri dienkripsi dan ditransmisikan melalui backbone jaringan penyedia cloud, tidak dapat diakses oleh dunia luar. |
| Batasi dan pantau komputer virtual Anda. | Kluster, yang menjalankan kueri, harus memiliki akses SSH dan jaringan dibatasi untuk mencegah penginstalan paket arbitrer. Kluster hanya boleh menggunakan gambar yang dipindai secara berkala untuk kerentanan. |
| Gunakan fungsionalitas injeksi VNet untuk mengaktifkan skenario yang lebih aman. | Misalnya: - Menyambungkan ke layanan Azure lainnya menggunakan titik akhir layanan. - Menyambungkan ke sumber data lokal, memanfaatkan rute yang ditentukan pengguna. - Menyambungkan ke perangkat virtual jaringan untuk meninjau semua lalu lintas keluar dan mengambil tindakan sesuai dengan aturan izin dan tolak. - Menggunakan DNS kustom. - Menyebarkan kluster Azure Databricks di jaringan virtual yang ada. |
| Gunakan log diagnostik untuk mengaudit akses dan izin ruang kerja. | Gunakan log audit untuk melihat aktivitas istimewa di ruang kerja, mengubah ukuran kluster, file, dan folder yang dibagikan pada kluster. |
Artefak sumber
Artefak sumber Azure Databricks mencakup blog Databricks: Praktik terbaik untuk mengamankan platform data skala perusahaan.