Руководство по обеспечению безопасности

В этом руководстве представлен обзор функций безопасности и возможностей, которые группа корпоративных данных может использовать для защиты среды Azure Databricks в соответствии с их профилем риска и политикой управления.

В этом руководстве не рассматриваются сведения о защите данных. Дополнительные сведения см. в разделе "Управление данными с помощью каталога Unity".

Проверка подлинности и управление доступом

В Azure Databricks рабочая область — это развертывание Azure Databricks в облаке, которое работает в качестве единой среды, которая использует указанный набор пользователей для доступа ко всем своим ресурсам Azure Databricks. Ваша организация может выбрать несколько рабочих областей или только одну в зависимости от ваших потребностей. Учетная запись Azure Databricks представляет одну сущность для выставления счетов, управления пользователями и поддержки. Учетная запись может включать несколько рабочих областей и хранилища метаданных каталога Unity.

Администраторы учетных записей обрабатывают общее управление учетными записями, а администраторы рабочих областей управляют параметрами и функциями отдельных рабочих областей в учетной записи. Администраторы учетных записей и рабочих областей управляют пользователями Azure Databricks, субъектами-службами и группами, а также параметрами проверки подлинности и контролем доступа.

Azure Databricks предоставляет функции безопасности, такие как единый вход, для настройки строгой проверки подлинности. Администратор могут настроить эти параметры, чтобы предотвратить переход учетных записей, в которых учетные данные, принадлежащие пользователю, скомпрометируются с помощью таких методов, как фишинг или методы подбора, предоставляя злоумышленнику доступ ко всем данным, доступным из среды.

Списки управления доступом определяют, кто может просматривать и выполнять операции с объектами в рабочих областях Azure Databricks, таких как записные книжки и хранилища SQL.

Дополнительные сведения о проверке подлинности и управлении доступом в Azure Databricks см. в статье "Проверка подлинности и управление доступом".

Сеть

Azure Databricks обеспечивает защиту сети, которая позволяет защитить рабочие области Azure Databricks и предотвратить использование конфиденциальных данных пользователями. Списки IP-доступа можно использовать для принудительного применения сетевого расположения пользователей Azure Databricks. С помощью внедрения виртуальной сети (управляемой клиентом виртуальной сети) можно заблокировать исходящий сетевой доступ. Дополнительные сведения см. в разделе "Сеть".

Шифрование и обеспечение безопасности данных

Клиенты, думающие о безопасности, иногда вызывают обеспокоенность тем, что Databricks может быть скомпрометирован, что может привести к компрометации своей среды. Azure Databricks имеет чрезвычайно сильную программу безопасности, которая управляет риском такого инцидента. Общие сведения о программе см. в центре безопасности и управления безопасностью. Тем не более чем компания не может полностью исключить все риски, и Azure Databricks предоставляет функции шифрования для дополнительного управления данными. См. сведения о безопасности и шифровании данных.

Управление секретами

Иногда для доступа к данным требуется пройти проверку подлинности в внешних источниках данных. Databricks рекомендует использовать секреты Databricks для хранения учетных данных вместо непосредственного ввода учетных данных в записную книжку. Дополнительные сведения см. в разделе "Управление секретами".

Аудит, конфиденциальность и соответствие требованиям

Azure Databricks предоставляет функции аудита, позволяющие администраторам отслеживать действия пользователей для обнаружения аномалий безопасности. Например, вы можете выполнить переход на учетную запись monitior, оповещав о необычном времени входа или одновременных удаленных входах.

Дополнительные сведения см. в разделе "Аудит", "Конфиденциальность" и "Соответствие".

Средство анализа безопасности

Внимание

Средство анализа безопасности (SAT) — это средство для повышения производительности в экспериментальном состоянии. Он не предназначен для использования в качестве сертификации развертываний. Проект SAT регулярно обновляется для улучшения правильности проверка, добавления новых проверка и исправления ошибок.

Средство анализа безопасности (SAT) можно использовать для анализа учетной записи Azure Databricks и конфигураций безопасности рабочей области. SAT предоставляет рекомендации, которые помогут вам следовать рекомендациям по обеспечению безопасности Databricks. SAT обычно выполняется ежедневно как автоматизированный рабочий процесс. Сведения об этих проверка результатах сохраняются в таблицах Delta в хранилище, чтобы с течением времени можно было анализировать тенденции. Эти результаты отображаются на централизованной панели мониторинга Azure Databricks.

Дополнительные сведения см . в репозитории GitHub средства анализа безопасности.

Подробнее

Ниже приведены некоторые ресурсы, которые помогут вам создать комплексное решение для обеспечения безопасности, соответствующее потребностям вашей организации:

• Центр безопасности и управления безопасностью Databricks, предоставляющий сведения о способах, в которых безопасность встроена в каждый слой платформы Databricks.
• Рекомендации по обеспечению безопасности, которые предоставляют проверка список методик безопасности, рекомендаций и шаблонов, которые можно применить к развертыванию, научился из наших корпоративных обязательств.