Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся конфигурации безопасности данных для защиты данных.
Сведения о защите доступа к данным см. в разделе "Управление данными" с помощью Azure Databricks.
Общие сведения о безопасности и шифровании данных
Azure Databricks предоставляет функции шифрования для защиты данных. Не все функции безопасности доступны во всех ценовых категориях. В следующей таблице содержатся общие сведения о функциях и их соответствии с планами ценообразования.
| Функция | Ценовая категория |
|---|---|
| Использование ключей, управляемых клиентом, для шифрования | Премиум |
| Шифрование трафика между рабочими узлами кластера | Премиум |
| Двойное шифрование для корневого каталога DBFS | Премиум |
| Шифрование запросов, журнал запросов и результаты запросов | Премиум |
Включение ключей, управляемых клиентом, для шифрования
Azure Databricks поддерживает добавление управляемого клиентом ключа для защиты и контроля доступа к данным. Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и управляемых аппаратных модулей безопасности Azure Key Vault (HSM). Существует три основных компонента, управляемых клиентом, для различных типов данных:
Управляемые клиентом ключи для управляемых дисков: вычислительные рабочие нагрузки Azure Databricks в плоскости вычислений сохраняют временные данные на управляемых дисках Azure. По умолчанию данные, хранящиеся на управляемых дисках, шифруются в период неактивности с использованием шифрования на стороне сервера и с применением ключей, управляемых Майкрософт. Вы можете настроить собственный ключ для рабочей области Azure Databricks, чтобы использовать для шифрования управляемых дисков. Ознакомьтесь с ключами, управляемыми клиентом, для управляемых дисков Azure.
Ключи, управляемые клиентом для управляемых служб: Данные управляемых служб в плоскости управления Azure Databricks зашифрованы в состоянии покоя. Можно добавить ключ, управляемый клиентом, для управляемых служб, чтобы защитить и отслеживать доступ к следующим типам зашифрованных данных:
- Исходные файлы записной книжки, хранящиеся в контрольной плоскости.
- Результаты для рабочих тетрадей, хранящихся в управляющем контуре.
- Секреты, хранимые API менеджера секретов.
- Запросы Databricks SQL и история запросов.
- Токены личного доступа или другие учетные данные, используемые для настройки интеграции Git с папками Git в Databricks.
Ключи, управляемые клиентом для корневого каталога DBFS: по умолчанию учетная запись хранения шифруется с помощью ключей, управляемых корпорацией Майкрософт. Вы можете настроить собственный ключ для шифрования всех данных в учетной записи хранения рабочей области. Для получения дополнительной информации см. Ключи, управляемые клиентом для корневого каталога DBFS.
Дополнительные сведения о том, какие функции, управляемые клиентом, в Azure Databricks защищают различные типы данных, см. в разделе ключи, управляемые клиентом, для шифрования.
Замечание
Доступ публичных сетей к дискам данных Azure отключен для повышения безопасности данных в рабочих областях Azure Databricks.
Включение двойного шифрования для DBFS
Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется в качестве учетной записи хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение по умолчанию в DBFS называется корнем DBFS.
Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения, включая корневое хранилище DBFS. При необходимости можно дополнительно включить двойное шифрование на уровне инфраструктуры хранилища Azure. Если включено шифрование инфраструктуры, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Дополнительные сведения о развертывании рабочей области с шифрованием инфраструктуры см. в разделе Настройка двойного шифрования для корневого каталога DBFS.
Шифрование запросов, журнала запросов и результатов запросов
Вы можете использовать собственный ключ из Azure Key Vault для шифрования запросов и журнала запросов Databricks SQL, хранящихся на уровне управления Azure Databricks. Дополнительные сведения см. в разделе Шифрование запросов, журнал запросов и результаты запросов
Шифрование трафика между рабочими узлами кластера
Пользовательские запросы и преобразования обычно отправляются в кластеры через зашифрованный канал. Однако по умолчанию данные, которыми обмениваются рабочие узлы в кластере, не шифруются. Если для вашей среды требуется шифровать данные в любой момент: в покое или при передаче, можно создать скрипт инициализации, который настраивает кластеры для шифрования трафика между рабочими узлами с использованием 128-битного шифрования AES по каналу TLS 1.3. Дополнительные сведения см. в разделе "Шифрование трафика между рабочими узлами кластера".
Управление параметрами рабочей области
Администраторы рабочих областей Azure Databricks могут управлять параметрами безопасности своей рабочей области, такими как возможность скачивания записных книжек и принудительного применения режима доступа к кластеру изоляции пользователей. Дополнительные сведения см. в разделе "Управление рабочей областью".