Шифрование и обеспечение безопасности данных
В этой статье приводятся конфигурации безопасности данных для защиты данных.
Сведения о защите доступа к данным см. в разделе "Управление данными" с помощью каталога Unity.
Общие сведения о безопасности и шифровании данных
Azure Databricks предоставляет функции шифрования для защиты данных. Не все функции безопасности доступны во всех ценовых категориях. В следующей таблице содержатся общие сведения о функциях и их соответствии с планами ценообразования.
| Функция | Ценовая категория |
|---|---|
| Использование ключей, управляемых клиентом, для шифрования | Premium |
| Шифрование трафика между рабочими узлами кластера | Premium |
| Двойное шифрование для корневого каталога DBFS | Premium |
| Шифрование запросов, журнал запросов и результаты запросов | Premium |
Включение ключей, управляемых клиентом, для шифрования
Azure Databricks поддерживает добавление управляемого клиентом ключа для защиты и контроля доступа к данным. Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и управляемых аппаратных модулей безопасности Azure Key Vault (HSM). Существует три основных компонента, управляемых клиентом, для различных типов данных:
Управляемые клиентом ключи для управляемых дисков: вычислительные рабочие нагрузки Azure Databricks в хранилище временных данных плоскости вычислений на управляемых дисках Azure. По умолчанию данные, хранящиеся на управляемых дисках, шифруются в период неактивности с использованием шифрования на стороне сервера и с применением ключей, управляемых Майкрософт. Вы можете настроить собственный ключ для рабочей области Azure Databricks, чтобы использовать для шифрования управляемых дисков. Ознакомьтесь с ключами, управляемыми клиентом, для управляемых дисков Azure.
Ключи, управляемые клиентом для управляемых служб: данные управляемых служб в плоскости управления Azure Databricks шифруются неактивных данных. Можно добавить ключ, управляемый клиентом, для управляемых служб, чтобы защитить и отслеживать доступ к следующим типам зашифрованных данных:
- Исходные файлы записной книжки, хранящиеся в плоскости управления.
- Результаты записной книжки для записных книжек, хранящихся в плоскости управления.
- Секреты, хранимые API диспетчера секретов.
- Журнал запросов и запросы Databricks SQL.
- Личные маркеры доступа или другие учетные данные, используемые для настройки интеграции Git с папками Databricks Git.
Ключи, управляемые клиентом для корневого каталога DBFS: по умолчанию учетная запись хранения шифруется с помощью ключей, управляемых корпорацией Майкрософт. Вы можете настроить собственный ключ для шифрования всех данных в учетной записи хранения рабочей области. Дополнительные сведения см. в разделе "Ключи, управляемые клиентом" для корневого каталога DBFS.
Дополнительные сведения о том, какие функции, управляемые клиентом, в Azure Databricks защищают различные типы данных, см. в разделе ключи, управляемые клиентом, для шифрования.
Включение двойного шифрования для DBFS
Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как учетная запись хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение по умолчанию в DBFS называется корнем DBFS.
Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения, включая корневое хранилище DBFS. При необходимости можно дополнительно включить двойное шифрование на уровне инфраструктуры хранилища Azure. Если включено шифрование инфраструктуры, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Дополнительные сведения о развертывании рабочей области с шифрованием инфраструктуры см. в разделе Настройка двойного шифрования для корневого каталога DBFS.
Шифрование запросов, журнала запросов и результатов запросов
Вы можете использовать собственный ключ из Azure Key Vault для шифрования запросов и журнала запросов Databricks SQL, хранящихся на уровне управления Azure Databricks. Дополнительные сведения см. в разделе Шифрование запросов, журнал запросов и результаты запросов
Шифрование трафика между рабочими узлами кластера
Пользовательские запросы и преобразования обычно отправляются в кластеры через зашифрованный канал. Однако по умолчанию данные, которыми обмениваются рабочие узлы в кластере, не шифруются. Если согласно требованиям среды данные должны шифроваться всегда (как при хранении, так и при передаче), можно создать скрипт инициализации, который настраивает кластеры для шифрования трафика между рабочими узлами с применением 128-разрядного алгоритма AES по каналу TLS 1.2. Дополнительные сведения см. в разделе "Шифрование трафика между рабочими узлами кластера".
Управление параметрами рабочей области
Администраторы рабочих областей Azure Databricks могут управлять параметрами безопасности своей рабочей области, такими как возможность скачивания записных книжек и принудительного применения режима доступа к кластеру изоляции пользователей. Дополнительные сведения см. в разделе "Управление рабочей областью".
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по