Azure Databricks 및 보안

Azure Databricks는 Azure Cloud Services에 최적화된 데이터 분석 플랫폼이며, 데이터 집약적 애플리케이션을 개발할 수 있는 다음과 같은 세 가지 환경을 제공합니다.

• Databricks SQL
• Databricks 데이터 과학 및 엔지니어링
• Databricks Machine Learning

Azure Databricks가 빅 데이터 분석의 보안을 개선하는 방법에 대해 자세히 알아보려면 Azure Databricks 개념을 참조하세요.

다음 섹션에는 Azure Databricks와 관련된 디자인 고려 사항, 구성 검사 목록, 권장 구성 옵션이 포함되어 있습니다.

디자인 고려 사항

모든 사용자의 Notebook 및 Notebook 결과는 기본적으로 미사용 시 암호화됩니다. 다른 요구 사항이 있는 경우 Notebook에 고객 관리형 키를 사용하는 것이 좋습니다.

검사 목록

보안을 고려하여 Azure Databricks를 구성했나요?

---

• Azure Data Lake Storage와 통신할 때 서비스 주체가 필요하지 않도록 Microsoft Entra ID 자격 증명 통과 를 사용합니다.
• 작업 영역, 컴퓨팅, 데이터를 퍼블릭 액세스로부터 격리합니다. 적절한 사용자만 보안 채널을 통해서만 액세스할 수 있도록 합니다.
• 관리형 사용자만 분석을 위한 클라우드 작업 영역에 제대로 액세스할 수 있는지 확인합니다.
• Azure Private Link를 구현합니다.
• 가상 머신을 제한하고 모니터링합니다.
• 동적 IP 액세스 목록을 사용하여 관리자가 회사 네트워크에서만 작업 영역에 액세스할 수 있도록 합니다.
• VNet 삽입 기능을 사용하여 더 안전한 시나리오를 구현합니다.
• 진단 로그를 사용하여 작업 영역 액세스 및 권한을 감사합니다.
• 보안 클러스터 연결 기능 및 허브/스포크 아키텍처를 사용하여 포트 열기를 방지하고 클러스터 노드에 공용 IP 주소를 할당하는 것이 좋습니다.

구성 권장 사항

보안을 위해 Azure Databricks 구성을 최적화하기 위한 다음 권장 사항 표를 살펴보세요.

추천	설명
관리형 사용자만 분석을 위한 클라우드 작업 영역에 제대로 액세스할 수 있는지 확인합니다.	Microsoft Entra ID는 원격 액세스를 위해 Single Sign-On을 처리할 수 있습니다. 추가 보안을 위해 조건부 액세스를 참조하세요.
Azure Private Link를 구현합니다.	플랫폼 사용자, Notebook, 쿼리를 처리하는 컴퓨팅 클러스터 간의 모든 트래픽이 클라우드 공급자의 네트워크 백본을 통해 암호화 및 전송되고 외부 세계에서 액세스할 수 없도록 합니다.
가상 머신을 제한하고 모니터링합니다.	쿼리를 실행하는 클러스터는 임의 패키지 설치를 방지하기 위해 SSH 및 네트워크 액세스가 제한되어야 합니다. 클러스터는 취약성이 있는지 주기적으로 검사되는 이미지만 사용해야 합니다.
VNet 삽입 기능을 사용하여 더 안전한 시나리오를 구현합니다.	예: - 서비스 엔드포인트를 사용하여 다른 Azure 서비스에 연결 - 온-프레미스 데이터 원본에 연결하여 사용자 정의 경로 활용 - 네트워크 가상 어플라이언스에 연결하여 모든 아웃바운드 트래픽을 검사하고 허용 및 거부 규칙에 따라 조치 수행 - 사용자 지정 DNS 사용 - 기존 가상 네트워크에 Azure Databricks 클러스터 배포
진단 로그를 사용하여 작업 영역 액세스 및 권한을 감사합니다.	감사 로그를 사용하여 작업 영역, 클러스터 크기 조정, 클러스터에서 공유되는 파일 및 폴더의 권한 있는 활동을 확인합니다.

원본 아티팩트

Azure Databricks 원본 아티팩트에는 Databricks 블로그 Best practices to secure an enterprise-scale data platform(엔터프라이즈급 데이터 플랫폼을 보호하기 위한 모범 사례)이 포함됩니다.

다음 단계

Azure Database for MySQL 및 비용 최적화