Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Databricks är en dataanalysplattform som är optimerad för Azure-molntjänster. Den erbjuder tre miljöer för att utveckla dataintensiva program:
Mer information om hur Azure Databricks förbättrar säkerheten för stordataanalys finns i Azure Databricks-begrepp.
Följande avsnitt omfattar designöverväganden, en konfigurationschecklista och rekommenderade konfigurationsalternativ som är specifika för Azure Databricks.
Designöverväganden
Alla användares notebook-filer och notebook-resultat krypteras som standard i vila. Om det finns andra krav kan det vara bra att använda kundhanterade nycklar för notebookar.
Checklista
Har du konfigurerat Azure Databricks med säkerhet i åtanke?
- Använd Microsoft Entra ID autentiseringsöverföring för att undvika behovet av tjänsteprincipaler när du kommunicerar med Azure Data Lake Storage.
- Isolera dina arbetsytor, beräkning och data från offentlig åtkomst. Se till att endast rätt personer har åtkomst och endast via säkra kanaler.
- Se till att molnarbetsytorna för din analys endast är tillgängliga för korrekt hanterade användare.
- Implementera Azure Private Link.
- Begränsa och övervaka dina virtuella datorer.
- Använd dynamiska IP-åtkomstlistor för att tillåta administratörer att endast komma åt arbetsytor från sina företagsnätverk.
- Använd funktionen för VNet-inmatning för att aktivera säkrare scenarier.
- Använd diagnostikloggar för att granska åtkomst och behörigheter för arbetsytan.
- Överväg att använda funktionen För säker klusteranslutning och hub/ekerarkitektur för att förhindra att portar öppnas och tilldela offentliga IP-adresser på klusternoder.
Konfigurationsrekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Databricks-konfiguration för säkerhet:
| Rekommendation | Beskrivning |
|---|---|
| Se till att molnarbetsytorna för din analys endast är tillgängliga för korrekt hanterade användare. | Microsoft Entra-ID kan hantera enkel inloggning för fjärråtkomst. För extra säkerhet, referera till villkorsstyrd åtkomst. |
| Implementera Azure Private Link. | Se till att all trafik mellan användare av din plattform, notebook-filer och beräkningskluster som bearbetar frågor krypteras och överförs via molnleverantörens nätverksstomme, otillgängliga för omvärlden. |
| Begränsa och övervaka dina virtuella datorer. | Kluster, som kör frågor, bör ha SSH- och nätverksåtkomst begränsad för att förhindra installation av godtyckliga paket. Kluster bör endast använda bilder som regelbundet genomsöks efter säkerhetsrisker. |
| Använd funktionen för VNet-inmatning för att aktivera säkrare scenarier. | Såsom: – Ansluta till andra Azure-tjänster med hjälp av tjänstslutpunkter. – Ansluta till lokala datakällor och dra nytta av användardefinierade vägar. – Ansluta till en virtuell nätverksinstallation för att inspektera all utgående trafik och vidta åtgärder enligt reglerna för att tillåta och neka. – Använda anpassad DNS. – Distribuera Azure Databricks-kluster i befintliga virtuella nätverk. |
| Använd diagnostikloggar för att granska åtkomst och behörigheter för arbetsytan. | Använd granskningsloggar för att se privilegierad aktivitet på en arbetsyta, storleksändring av kluster, filer och mappar som delas i klustret. |
Källobjekt
Azure Databricks-källartefakter innehåller Databricks-bloggen: Metodtips för att skydda en dataplattform i företagsskala.