Przewodnik dotyczący zabezpieczeń

  • Artykuł

Ten przewodnik zawiera omówienie funkcji i możliwości zabezpieczeń, których zespół danych przedsiębiorstwa może używać do wzmacniania poziomu środowiska usługi Azure Databricks zgodnie z profilem ryzyka i zasadami ładu.

Ten przewodnik nie obejmuje informacji dotyczących zabezpieczania danych. Aby uzyskać te informacje, zobacz Zarządzanie danymi za pomocą wykazu aparatu Unity.

Uwierzytelnianie i kontrola dostępu

W usłudze Azure Databricks obszar roboczy to wdrożenie usługi Azure Databricks w chmurze, które działa jako ujednolicone środowisko używane przez określony zestaw użytkowników do uzyskiwania dostępu do wszystkich zasobów usługi Azure Databricks. Twoja organizacja może wybrać wiele obszarów roboczych lub tylko jeden, w zależności od potrzeb. Konto usługi Azure Databricks reprezentuje pojedynczą jednostkę na potrzeby rozliczeń, zarządzania użytkownikami i pomocy technicznej. Konto może zawierać wiele obszarów roboczych i magazynów metadanych wykazu aparatu Unity.

Administratorzy kont obsługują ogólne zarządzanie kontami, a administratorzy obszarów roboczych zarządzają ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie. Zarówno administratorzy konta, jak i obszaru roboczego zarządzają użytkownikami usługi Azure Databricks, jednostkami usługi i grupami, a także ustawieniami uwierzytelniania i kontrolą dostępu.

Usługa Azure Databricks udostępnia funkcje zabezpieczeń, takie jak logowanie jednokrotne, w celu skonfigurowania silnego uwierzytelniania. Administracja można skonfigurować te ustawienia, aby zapobiec przejęciom kont, w których poświadczenia należące do użytkownika zostały naruszone przy użyciu metod takich jak wyłudzanie informacji lub atak siłowy, dając atakującemu dostęp do wszystkich danych dostępnych ze środowiska.

Listy kontroli dostępu określają, kto może wyświetlać i wykonywać operacje na obiektach w obszarach roboczych usługi Azure Databricks, takich jak notesy i magazyny SQL.

Aby dowiedzieć się więcej na temat uwierzytelniania i kontroli dostępu w usłudze Azure Databricks, zobacz Uwierzytelnianie i kontrola dostępu.

Sieć

Usługa Azure Databricks zapewnia ochronę sieci, która umożliwia zabezpieczanie obszarów roboczych usługi Azure Databricks i zapobieganie eksfiltrowaniu poufnych danych użytkownikom. Listy dostępu do adresów IP umożliwiają wymuszanie lokalizacji sieciowej użytkowników usługi Azure Databricks. Za pomocą iniekcji sieci wirtualnej (sieci wirtualnej zarządzanej przez klienta) można zablokować wychodzący dostęp sieciowy. Aby dowiedzieć się więcej, zobacz Sieć.

Bezpieczeństwo i szyfrowanie danych

Klienci z myślą o zabezpieczeniach czasami obawiają się, że bezpieczeństwo samej usługi Databricks może spowodować naruszenie bezpieczeństwa środowiska. Usługa Azure Databricks ma niezwykle silny program zabezpieczeń, który zarządza ryzykiem takiego incydentu. Zobacz Centrum zabezpieczeń i zaufania, aby zapoznać się z omówieniem programu. Oznacza to, że żadna firma nie może całkowicie wyeliminować całego ryzyka, a usługa Azure Databricks udostępnia funkcje szyfrowania umożliwiające dodatkową kontrolę nad danymi. Zobacz Zabezpieczenia i szyfrowanie danych.

Zarządzanie wpisami tajnymi

Czasami uzyskiwanie dostępu do danych wymaga uwierzytelnienia w zewnętrznych źródłach danych. Usługa Databricks zaleca używanie wpisów tajnych usługi Databricks do przechowywania poświadczeń zamiast bezpośredniego wprowadzania poświadczeń do notesu. Aby uzyskać więcej informacji, zobacz Zarządzanie wpisami tajnymi.

Inspekcja, prywatność i zgodność

Usługa Azure Databricks udostępnia funkcje inspekcji, aby umożliwić administratorom monitorowanie działań użytkowników w celu wykrywania anomalii zabezpieczeń. Możesz na przykład monitować o przejęcie konta, ostrzegając o nietypowym czasie logowania lub równoczesnych zdalnych logowań.

Aby uzyskać więcej informacji, zobacz Inspekcja, prywatność i zgodność.

Narzędzie analizy zabezpieczeń

Ważne

Narzędzie analizy zabezpieczeń (SAT) to narzędzie zwiększające produktywność w stanie eksperymentalnym. Nie jest ona przeznaczona do użycia jako certyfikacja wdrożeń. Projekt SAT jest regularnie aktualizowany w celu poprawy poprawności kontroli, dodawania nowych testów i naprawiania usterek.

Narzędzie Analizy zabezpieczeń (SAT) umożliwia analizowanie konfiguracji zabezpieczeń konta i obszaru roboczego usługi Azure Databricks. SAT zawiera zalecenia, które ułatwiają przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń usługi Databricks. Sat jest zwykle uruchamiany codziennie jako zautomatyzowany przepływ pracy. Szczegóły tych wyników sprawdzania są utrwalane w tabelach delty w magazynie, dzięki czemu trendy mogą być analizowane w czasie. Te wyniki są wyświetlane na scentralizowanym pulpicie nawigacyjnym usługi Azure Databricks.

Aby uzyskać więcej informacji, zobacz repozytorium GitHub narzędzia analizy zabezpieczeń.

Security Analysis Tool diagram

Dowiedz się więcej

Oto kilka zasobów, które ułatwiają tworzenie kompleksowego rozwiązania zabezpieczeń spełniającego potrzeby organizacji:

  • Centrum zabezpieczeń i zaufania usługi Databricks, które zawiera informacje na temat sposobów, w jaki zabezpieczenia są wbudowane w każdą warstwę platformy usługi Databricks.
  • Najlepsze rozwiązania w zakresie zabezpieczeń, które udostępniają listę kontrolną praktyk zabezpieczeń, zagadnień i wzorców, które można zastosować do wdrożenia, poznane na podstawie naszych zaangażowania w przedsiębiorstwie.