Condividi tramite

Guida alla sicurezza

  • Articolo

Questa guida offre una panoramica delle funzionalità e delle funzionalità di sicurezza che un team di dati aziendali può usare per rafforzare l'ambiente Azure Databricks in base al profilo di rischio e ai criteri di governance.

Questa guida non tratta le informazioni sulla protezione dei dati. Per queste informazioni, vedere Governance dei dati con Unity Catalog.

Autenticazione e controllo di accesso

In Azure Databricks un'area di lavoro è una distribuzione di Azure Databricks nel cloud che funziona come ambiente unificato usato da un set specificato di utenti per l'accesso a tutti gli asset di Azure Databricks. L'organizzazione può scegliere di avere più aree di lavoro o solo una, a seconda delle esigenze. Un account Azure Databricks rappresenta una singola entità ai fini della fatturazione, della gestione degli utenti e del supporto. Un account può includere più aree di lavoro e metastore del catalogo Unity.

Gli amministratori account gestiscono la gestione generale degli account e gli amministratori dell'area di lavoro gestiscono le impostazioni e le funzionalità delle singole aree di lavoro nell'account. Sia gli amministratori dell'account che dell'area di lavoro gestiscono utenti, entità servizio e gruppi di Azure Databricks, nonché le impostazioni di autenticazione e il controllo di accesso.

Azure Databricks offre funzionalità di sicurezza, ad esempio Single Sign-On, per configurare l'autenticazione avanzata. Amministrazione possono configurare queste impostazioni per impedire acquisizioni di account, in cui le credenziali appartenenti a un utente vengono compromesse usando metodi come phishing o forza bruta, dando a un utente malintenzionato l'accesso a tutti i dati accessibili dall'ambiente.

Gli elenchi di controllo di accesso determinano chi può visualizzare ed eseguire operazioni sugli oggetti nelle aree di lavoro di Azure Databricks, ad esempio notebook e SQL Warehouse.

Per altre informazioni sull'autenticazione e sul controllo di accesso in Azure Databricks, vedere Autenticazione e controllo di accesso.

Rete

Azure Databricks offre protezioni di rete che consentono di proteggere le aree di lavoro di Azure Databricks e impedire agli utenti di esfiltrare dati sensibili. È possibile usare gli elenchi di accesso IP per applicare il percorso di rete degli utenti di Azure Databricks. Usando l'inserimento di reti virtuali (una rete virtuale gestita dal cliente), è possibile bloccare l'accesso alla rete in uscita. Per altre informazioni, vedere Rete.

Sicurezza e crittografia dei dati

I clienti con mente per la sicurezza a volte mettono in discussione che Databricks stesso potrebbe essere compromesso, il che potrebbe causare la compromissione dell'ambiente. Azure Databricks ha un programma di sicurezza estremamente forte che gestisce il rischio di un evento imprevisto di questo tipo. Per una panoramica sul programma, vedere il Centro sicurezza e protezione. Detto questo, nessuna azienda può eliminare completamente tutti i rischi e Azure Databricks fornisce funzionalità di crittografia per un controllo aggiuntivo dei dati. Vedere Sicurezza e crittografia dei dati.

Gestione dei segreti

In alcuni casi l'accesso ai dati richiede l'autenticazione a origini dati esterne. Databricks consiglia di usare i segreti di Databricks per archiviare le credenziali anziché immettere direttamente le credenziali in un notebook. Per altre informazioni, vedere Gestione dei segreti.

Controllo, privacy e conformità

Azure Databricks offre funzionalità di controllo per consentire agli amministratori di monitorare le attività degli utenti per rilevare le anomalie di sicurezza. Ad esempio, è possibile tenere conto delle acquisizioni di account avvisando il tempo insolito degli accessi o degli account di accesso remoti simultanei.

Per altre informazioni, vedere Controllo, privacy e conformità.

Strumento di analisi della sicurezza

Importante

Security Analysis Tool (SAT) è uno strumento di produttività in uno stato sperimentale . Non è progettato per essere usato come certificazione delle distribuzioni. Il progetto SAT viene aggiornato regolarmente per migliorare la correttezza dei controlli, aggiungere nuovi controlli e correggere i bug.

È possibile usare lo Strumento di analisi della sicurezza (SAT) per analizzare le configurazioni di sicurezza dell'account e dell'area di lavoro di Azure Databricks. SAT fornisce raccomandazioni che consentono di seguire le procedure consigliate per la sicurezza di Databricks. SAT viene in genere eseguito quotidianamente come flusso di lavoro automatizzato. I dettagli di questi risultati di controllo vengono mantenuti nelle tabelle Delta nella risorsa di archiviazione in modo che le tendenze possano essere analizzate nel tempo. Questi risultati vengono visualizzati in un dashboard centralizzato di Azure Databricks.

Per altre informazioni, vedere il repository GitHub dello Strumento di analisi della sicurezza.

Security Analysis Tool diagram

Altre informazioni

Ecco alcune risorse che consentono di creare una soluzione di sicurezza completa che soddisfi le esigenze dell'organizzazione:

  • Databricks Security and Trust Center, che fornisce informazioni sui modi in cui la sicurezza è integrata in ogni livello della piattaforma Databricks.
  • Procedure consigliate per la sicurezza, che fornisce un elenco di controllo di procedure di sicurezza, considerazioni e modelli che è possibile applicare alla distribuzione, appresi dagli impegni aziendali.