Azure Databricks 和安全性
Azure Databricks 是針對 Azure 雲端服務優化的數據分析平臺。 它提供三個環境來開發需要大量資料的應用程式:
若要深入瞭解 Azure Databricks 如何改善巨量數據分析的安全性,請參閱 Azure Databricks 概念。
下列各節包括設計考慮、設定檢查清單,以及 Azure Databricks 專屬的建議組態選項。
設計考量
根據預設,所有用戶的筆記本和筆記本結果都會在待用時加密。 如果有其他需求,請考慮使用 客戶管理的筆記本密鑰。
檢查清單
您是否已將 Azure Databricks 設定為安全性?
- 使用 Microsoft Entra ID 認證傳遞,以避免在與 Azure Data Lake 儲存體 通訊時需要服務主體。
- 隔離您的工作區、計算和數據與公用存取。 請確定只有正確的人員可以存取,而且只能透過安全通道存取。
- 請確定您分析的雲端工作區只能由適當 管理的使用者存取。
- 實作 Azure Private Link。
- 限制及監視您的虛擬機。
- 使用動態IP存取清單,允許系統管理員只從其公司網路存取工作區。
- 使用 VNet 插入功能來啟用更安全的案例。
- 使用 診斷記錄 來稽核工作區存取權和許可權。
- 請考慮使用 安全叢集連線 功能和 中樞/輪輻架構 來防止開啟埠,並在叢集節點上指派公用IP位址。
組態建議
探索下列建議表格,以優化 Azure Databricks 設定的安全性:
| 建議 | 描述 |
|---|---|
| 請確定您分析的雲端工作區只能由適當 管理的使用者存取。 | Microsoft Entra ID 可以處理遠端訪問的單一登錄。 如需額外的安全性,請參考 條件式存取。 |
| 實作 Azure Private Link。 | 確保平臺使用者、筆記本和處理查詢的計算叢集之間的所有流量都會透過雲端提供者的網路骨幹加密和傳輸,無法存取外部世界。 |
| 限制及監視您的虛擬機。 | 執行查詢的叢集應該受限於 SSH 和網路存取,以防止安裝任意套件。 叢集應該只使用定期掃描弱點的映像。 |
| 使用 VNet 插入功能來啟用更安全的案例。 | 例如: - 使用服務端點 連線 至其他 Azure 服務。 - 連線 至內部部署數據源,並利用使用者定義的路由。 - 連線 網路虛擬設備來檢查所有輸出流量,並根據允許和拒絕規則採取動作。 - 使用自定義 DNS。 - 在現有的虛擬網路中部署 Azure Databricks 叢集。 |
| 使用 診斷記錄 來稽核工作區存取權和許可權。 | 使用稽核記錄來查看工作區中具特殊許可權的活動、叢集大小調整、檔案和共用在叢集上的資料夾。 |
來源成品
Azure Databricks 來源成品包括 Databricks 部落格: 保護企業級數據平臺的最佳做法。