Azure Databricks は、Azure クラウド サービス用に最適化されたデータ分析プラットフォームです。 データ集約型アプリケーションを開発するための 3 つの環境が用意されています。
Azure Databricks がビッグ データ分析のセキュリティを強化する方法の詳細については、 Azure Databricks の概念を参照してください。
次のセクションには、設計上の考慮事項、構成チェックリスト、および Azure Databricks に固有の推奨される構成オプションが含まれます。
設計に関する考慮事項
既定では、すべてのユーザーのノートブックおよびその結果は保存時に暗号化されています。 他の要件が満たされている場合は、 ノートブックにカスタマー マネージド キーを使用することを検討してください。
チェックリスト
セキュリティを念頭に置いて Azure Databricks を構成しましたか?
- Microsoft Entra ID 資格情報パススルー を使用して、Azure Data Lake Storage と通信するときにサービス プリンシパルが必要にならないようにします。
- ワークスペース、コンピューティング、データをパブリック アクセスから分離します。 適切なユーザーのみがアクセスでき、セキュリティで保護されたチャネル経由でのみアクセスできることを確認します。
- 分析用のクラウド ワークスペースに適切に 管理されているユーザーのみがアクセスできることを確認します。
- Azure Private Link を導入する。
- 仮想マシンを制限して監視します。
- 動的 IP アクセス リストを使用して、管理者が企業ネットワークからのみワークスペースにアクセスできるようにします。
- VNet インジェクション機能を使用して、より安全なシナリオを実現します。
- 診断ログを使用して、ワークスペースのアクセスとアクセス許可を監査します。
- セキュリティで保護されたクラスター接続機能とハブ/スポーク アーキテクチャを使用して、ポートを開いたり、クラスター ノードにパブリック IP アドレスを割り当てたりしないようにすることを検討してください。
構成に関する推奨事項
セキュリティのために Azure Databricks 構成を最適化するための推奨事項の次の表を確認します。
| 勧告 | 説明 |
|---|---|
| 分析用のクラウド ワークスペースに適切に 管理されているユーザーのみがアクセスできることを確認します。 | Microsoft Entra ID は、リモート アクセスのシングル サインオンを処理できます。 セキュリティを強化するために、 条件付きアクセスを参照してください。 |
| Azure Private Link を導入する。 | プラットフォームのユーザー、ノートブック、クエリを処理するコンピューティング クラスター間のすべてのトラフィックが暗号化され、クラウド プロバイダーのネットワーク バックボーン経由で送信され、外部にアクセスできないようにします。 |
| 仮想マシンを制限して監視します。 | クエリを実行するクラスターでは、任意のパッケージのインストールを防ぐために SSH とネットワーク アクセスが制限されている必要があります。 クラスターでは、脆弱性を定期的にスキャンするイメージのみを使用する必要があります。 |
| VNet インジェクション機能を使用して、より安全なシナリオを実現します。 | 例えば: - サービス エンドポイントを使用して他の Azure サービスに接続する。 - ユーザー定義ルートを利用して、オンプレミスのデータ ソースに接続します。 - ネットワーク仮想アプライアンスに接続して、すべての送信トラフィックを検査し、許可規則と拒否規則に従ってアクションを実行します。 - カスタム DNS の使用。 - 既存の仮想ネットワークに Azure Databricks クラスターをデプロイする。 |
| 診断ログを使用して、ワークスペースのアクセスとアクセス許可を監査します。 | 監査ログを使用して、ワークスペース内の特権アクティビティ、クラスターのサイズ変更、ファイル、およびクラスターで共有されているフォルダーを確認します。 |
ソース成果物
Azure Databricks ソース成果物には、Databricks ブログ: エンタープライズ規模のデータ プラットフォームをセキュリティで保護するためのベスト プラクティスが含まれています。