Azure Databricks en beveiliging
Azure Databricks is een platform voor gegevensanalyse dat is geoptimaliseerd voor Azure-cloudservices. Het biedt drie omgevingen voor het ontwikkelen van gegevensintensieve toepassingen:
Raadpleeg de concepten van Azure Databricks voor meer informatie over hoe Azure Databricks de beveiliging van big data-analyses verbetert.
De volgende secties bevatten ontwerpoverwegingen, een configuratiecontrolelijst en aanbevolen configuratieopties die specifiek zijn voor Azure Databricks.
Ontwerpoverwegingen
De notebooks en notebookresultaten van alle gebruikers worden standaard versleuteld. Als er andere vereisten zijn, kunt u overwegen om door de klant beheerde sleutels voor notebooks te gebruiken.
Checklijst
Hebt u Azure Databricks geconfigureerd met het oog op beveiliging?
- Gebruik passthrough voor referenties van Microsoft Entra ID om te voorkomen dat service-principals nodig zijn bij de communicatie met Azure Data Lake Storage.
- Uw werkruimten, berekeningen en gegevens isoleren van openbare toegang. Zorg ervoor dat alleen de juiste personen toegang hebben en alleen via beveiligde kanalen.
- Zorg ervoor dat de cloudwerkruimten voor uw analyses alleen toegankelijk zijn voor goed beheerde gebruikers.
- Azure Private Link implementeren.
- Beperk en bewaak uw virtuele machines.
- Gebruik dynamische IP-toegangslijsten om beheerders alleen toegang te geven tot werkruimten vanuit hun bedrijfsnetwerken.
- Gebruik de functionaliteit voor VNet-injectie om veiligere scenario's mogelijk te maken.
- Gebruik diagnostische logboeken om toegang en machtigingen voor werkruimten te controleren.
- Overweeg het gebruik van de beveiligde clusterconnectiviteitsfunctie en hub-/spoke-architectuur om te voorkomen dat poorten worden geopend en openbare IP-adressen toe te wijzen op clusterknooppunten.
Aanbevelingen voor configuratie
Bekijk de volgende tabel met aanbevelingen voor het optimaliseren van uw Azure Databricks-configuratie voor beveiliging:
| Aanbeveling | Beschrijving |
|---|---|
| Zorg ervoor dat de cloudwerkruimten voor uw analyses alleen toegankelijk zijn voor goed beheerde gebruikers. | Microsoft Entra ID kan eenmalige aanmelding afhandelen voor externe toegang. Voor extra beveiliging verwijst u naar voorwaardelijke toegang. |
| Azure Private Link implementeren. | Zorg ervoor dat al het verkeer tussen gebruikers van uw platform, de notebooks en de rekenclusters die query's verwerken, worden versleuteld en verzonden via de netwerk-backbone van de cloudprovider, die niet toegankelijk is voor de buitenwereld. |
| Beperk en bewaak uw virtuele machines. | Clusters, die query's uitvoeren, moeten SSH- en netwerktoegang hebben beperkt om te voorkomen dat willekeurige pakketten worden geïnstalleerd. Clusters mogen alleen installatiekopieën gebruiken die periodiek worden gescand op beveiligingsproblemen. |
| Gebruik de functionaliteit voor VNet-injectie om veiligere scenario's mogelijk te maken. | Zoals: - Verbinding maken naar andere Azure-services met behulp van service-eindpunten. - Verbinding maken naar on-premises gegevensbronnen, waarbij gebruik wordt gemaakt van door de gebruiker gedefinieerde routes. - Verbinding maken naar een virtueel netwerkapparaat om al het uitgaande verkeer te controleren en acties uit te voeren op basis van regels voor toestaan en weigeren. - Aangepaste DNS gebruiken. - Azure Databricks-clusters implementeren in bestaande virtuele netwerken. |
| Gebruik diagnostische logboeken om toegang en machtigingen voor werkruimten te controleren. | Gebruik auditlogboeken om bevoorrechte activiteiten in een werkruimte te zien, het formaat van clusters, bestanden en mappen die worden gedeeld op het cluster. |
Bronartefacten
Azure Databricks-bronartefacten bevatten de Databricks-blog: Best practices voor het beveiligen van een gegevensplatform op ondernemingsniveau.