Keamanan dan enkripsi data
Artikel ini memperkenalkan konfigurasi keamanan data untuk membantu melindungi data Anda.
Untuk informasi tentang mengamankan akses ke data Anda, lihat Tata kelola data dengan Unity Catalog.
Gambaran umum keamanan dan enkripsi data
Azure Databricks menyediakan fitur enkripsi untuk membantu melindungi data Anda. Tidak semua fitur keamanan tersedia di semua tingkat harga. Tabel berikut berisi gambaran umum fitur dan caranya selaras dengan paket harga.
| Fitur | Tingkatan harga |
|---|---|
| Kunci yang dikelola pelanggan untuk enkripsi | Premium |
| Mengenkripsi lalu lintas antar node pekerja kluster | Premium |
| Enkripsi ganda untuk akar DBFS | Premium |
| Mengenkripsi kueri, riwayat kueri, dan hasil kueri | Premium |
Mengaktifkan kunci yang dikelola pelanggan untuk enkripsi
Azure Databricks mendukung penambahan kunci yang dikelola pelanggan untuk membantu melindungi dan mengontrol akses ke data. Azure Databricks mendukung kunci yang dikelola pelanggan dari brankas Azure Key Vault dan Modul Keamanan Perangkat Keras Terkelola (HSM) Azure Key Vault. Ada tiga fitur utama yang dikelola pelanggan untuk berbagai jenis data:
Kunci yang dikelola pelanggan untuk disk terkelola: Beban kerja komputasi Azure Databricks di bidang komputasi menyimpan data sementara pada disk terkelola Azure. Secara default, data yang disimpan pada disk terkelola dienkripsi saat tidak aktif menggunakan enkripsi sisi server dengan kunci yang dikelola Microsoft. Anda dapat mengonfigurasi kunci Anda sendiri untuk ruang kerja Azure Databricks yang akan digunakan untuk enkripsi disk terkelola. Lihat Kunci yang dikelola pelanggan untuk disk terkelola Azure.
Kunci yang dikelola pelanggan untuk layanan terkelola: Data layanan terkelola di sarana kontrol Azure Databricks dienkripsi saat tidak aktif. Anda dapat menambahkan kunci yang dikelola pelanggan untuk layanan terkelola untuk membantu melindungi dan mengontrol akses ke jenis data terenkripsi berikut:
- File sumber buku catatan yang disimpan di sarana kontrol.
- Hasil buku catatan untuk buku catatan yang disimpan di bidang kontrol.
- Rahasia yang disimpan oleh API pengelola rahasia.
- Kueri dan riwayat kueri Databricks SQL.
- Token akses pribadi atau kredensial lain yang digunakan untuk menyiapkan integrasi Git dengan folder Databricks Git.
Lihat Kunci yang dikelola pelanggan untuk layanan terkelola.
Kunci yang dikelola pelanggan untuk akar DBFS: Secara default, akun penyimpanan dienkripsi dengan kunci yang dikelola Microsoft. Anda dapat mengonfigurasi kunci Anda sendiri untuk mengenkripsi semua data di akun penyimpanan ruang kerja. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk akar DBFS.
Untuk detail selengkapnya tentang fitur utama yang dikelola pelanggan di Azure Databricks yang melindungi berbagai jenis data, lihat Kunci yang dikelola pelanggan untuk enkripsi.
Mengaktifkan enkripsi ganda untuk DBFS
Databricks File System (DBFS) adalah sistem file terdistribusi yang dipasang ke ruang kerja Azure Databricks dan tersedia di kluster Azure Databricks. DBFS diimplementasikan sebagai akun penyimpanan di grup sumber daya terkelola ruang kerja Azure Databricks Anda. Lokasi default di DBFS dikenal sebagai akar DBFS.
Azure Storage secara otomatis mengenkripsi semua data di akun penyimpanan, termasuk penyimpanan akar DBFS. Anda juga dapat mengaktifkan enkripsi di tingkat infrastruktur Azure Storage. Saat enkripsi infrastruktur diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, dengan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Untuk mempelajari selengkapnya tentang menyebarkan ruang kerja dengan enkripsi infrastruktur, lihat Mengonfigurasi enkripsi ganda untuk akar DBFS.
Mengenkripsi kueri, riwayat kueri, dan hasil kueri
Anda sekarang dapat menggunakan kunci Anda sendiri dari Azure Key Vault untuk mengenkripsi kueri Databricks SQL dan riwayat kueri yang disimpan di sarana kontrol Azure Databricks. Untuk detail selengkapnya, lihat Mengenkripsi kueri, riwayat kueri, dan hasil kueri
Mengenkripsi lalu lintas antar simpul pekerja kluster
Kueri dan transformasi pengguna biasanya dikirim ke kluster Anda melalui saluran terenkripsi. Secara default, bagaimanapun, data yang dipertukarkan antara node pekerja dalam sebuah kluster tidak dienkripsi. Jika lingkungan Anda mengharuskan data dienkripsi setiap saat, baik saat istirahat atau saat transit, Anda dapat membuat skrip inisialisasi yang mengonfigurasi kluster Anda untuk mengenkripsi lalu lintas antar node pekerja, menggunakan enkripsi AES 128-bit melalui koneksi TLS 1.2. Untuk informasi selengkapnya, lihat Mengenkripsi lalu lintas antar simpul pekerja kluster.
Mengelola pengaturan ruang kerja
Administrator ruang kerja Azure Databricks dapat mengelola pengaturan keamanan ruang kerja mereka, seperti kemampuan untuk mengunduh notebook dan memberlakukan mode akses kluster isolasi pengguna. Untuk informasi selengkapnya, lihat Mengelola ruang kerja Anda.