Delen via


Beveiligingshandleiding

Deze handleiding biedt een overzicht van beveiligingsfuncties en -mogelijkheden die een gegevensteam van ondernemingen kan gebruiken om hun Azure Databricks-omgeving te beveiligen volgens hun risicoprofiel en governancebeleid.

Deze handleiding bevat geen informatie over het beveiligen van uw gegevens. Zie Gegevensbeheer met Unity Catalog voor deze informatie.

Verificatie en toegangsbeheer

In Azure Databricks is een werkruimte een Azure Databricks-implementatie in de cloud die fungeert als de geïntegreerde omgeving die een opgegeven set gebruikers gebruikt voor toegang tot al hun Azure Databricks-assets. Uw organisatie kan ervoor kiezen om meerdere werkruimten of slechts één werkruimte te hebben, afhankelijk van uw behoeften. Een Azure Databricks-account vertegenwoordigt één entiteit voor facturering, gebruikersbeheer en ondersteuning. Een account kan meerdere werkruimten en Unity Catalog-metastores bevatten.

Accountbeheerders verwerken algemeen accountbeheer en werkruimtebeheerders beheren de instellingen en functies van afzonderlijke werkruimten in het account. Zowel account- als werkruimtebeheerders beheren Azure Databricks-gebruikers, service-principals en groepen, evenals verificatie-instellingen en toegangsbeheer.

Azure Databricks biedt beveiligingsfuncties, zoals eenmalige aanmelding, om sterke verificatie te configureren. Beheerders kunnen deze instellingen configureren om te voorkomen dat accountovernames worden overgenomen, waarbij referenties van een gebruiker worden aangetast met behulp van methoden zoals phishing of brute force, waardoor een aanvaller toegang krijgt tot alle gegevens die toegankelijk zijn vanuit de omgeving.

Toegangsbeheerlijsten bepalen wie bewerkingen kan bekijken en uitvoeren op objecten in Azure Databricks-werkruimten, zoals notebooks en SQL Warehouses.

Zie Verificatie en toegangsbeheer voor meer informatie over verificatie en toegangsbeheer in Azure Databricks.

Netwerken

Azure Databricks biedt netwerkbeveiligingen waarmee u Azure Databricks-werkruimten kunt beveiligen en kunt voorkomen dat gebruikers gevoelige gegevens exfiltreren. U kunt IP-toegangslijsten gebruiken om de netwerklocatie van Azure Databricks-gebruikers af te dwingen. Met VNet-injectie (een door de klant beheerd VNet) kunt u uitgaande netwerktoegang vergrendelen. Zie Netwerken voor meer informatie.

Gegevensbeveiliging en -versleuteling

Beveiligingsgerichte klanten geven soms een zorg dat Databricks zelf mogelijk wordt aangetast, wat kan leiden tot inbreuk op hun omgeving. Azure Databricks heeft een uiterst sterk beveiligingsprogramma dat het risico van een dergelijk incident beheert. Zie het Beveiligings- en Vertrouwenscentrum voor een overzicht van het programma. Dat gezegd hebbende, kan geen enkel bedrijf volledig alle risico's elimineren en Biedt Azure Databricks versleutelingsfuncties voor extra controle over uw gegevens. Zie Gegevensbeveiliging en -versleuteling.

Geheimenbeheer

Soms moet u zich verifiëren bij externe gegevensbronnen voor toegang tot gegevens. Databricks raadt u aan om Databricks-geheimen te gebruiken om uw referenties op te slaan in plaats van uw referenties rechtstreeks in te voeren in een notebook. Zie Geheimbeheer voor meer informatie.

Controle, privacy en naleving

Azure Databricks biedt controlefuncties waarmee beheerders gebruikersactiviteiten kunnen bewaken om beveiligingsafwijkingen te detecteren. U kunt bijvoorbeeld accountovernames monitior door te waarschuwen over ongebruikelijke tijd van aanmeldingen of gelijktijdige externe aanmeldingen.

Zie Controle, privacy en naleving voor meer informatie.

Hulpprogramma voor beveiligingsanalyse

Belangrijk

Het sat-hulpprogramma (Security Analysis Tool) is een productiviteitsprogramma met een experimentele status. Het is niet bedoeld om te worden gebruikt als certificering van uw implementaties. Het SAT-project wordt regelmatig bijgewerkt om de juistheid van controles te verbeteren, nieuwe controles toe te voegen en bugs op te lossen.

U kunt het Hulpprogramma voor beveiligingsanalyse (SAT) gebruiken om uw Azure Databricks-account en werkruimtebeveiligingsconfiguraties te analyseren. SAT biedt aanbevelingen waarmee u de best practices voor Databricks-beveiliging kunt volgen. SAT wordt doorgaans dagelijks uitgevoerd als een geautomatiseerde werkstroom. De details van deze controleresultaten worden bewaard in Delta-tabellen in uw opslag, zodat trends in de loop van de tijd kunnen worden geanalyseerd. Deze resultaten worden weergegeven in een gecentraliseerd Azure Databricks-dashboard.

Zie de GitHub-opslagplaats voor beveiligingsanalysehulpprogramma's voor meer informatie.

Diagram van het hulpprogramma voor beveiligingsanalyse

Meer informatie

Hier volgen enkele bronnen om u te helpen bij het bouwen van een uitgebreide beveiligingsoplossing die voldoet aan de behoeften van uw organisatie: