Beveiliging en naleving
Deze sectie bevat een overzicht van beveiligingsfuncties en -mogelijkheden die een gegevensteam van ondernemingen kan gebruiken om hun Azure Databricks-omgeving te beveiligen op basis van hun risicoprofiel en -beleid.
Deze sectie bevat geen informatie over gegevensbeheer. Zie Gegevensbeheer met Unity Catalog voor deze informatie.
Verificatie en toegangsbeheer
In Azure Databricks is een werkruimte een Azure Databricks-implementatie in de cloud die fungeert als de geïntegreerde omgeving die een opgegeven set gebruikers gebruikt voor toegang tot al hun Azure Databricks-assets. Uw organisatie kan ervoor kiezen om meerdere werkruimten of slechts één werkruimte te hebben, afhankelijk van uw behoeften. Een Azure Databricks-account vertegenwoordigt één entiteit voor facturering, gebruikersbeheer en ondersteuning. Een account kan meerdere werkruimten en Unity Catalog-metastores bevatten.
Accountbeheerders verwerken algemeen accountbeheer en werkruimtebeheerders beheren de instellingen en functies van afzonderlijke werkruimten in het account. Zowel account- als werkruimtebeheerders beheren Azure Databricks-gebruikers, service-principals en groepen, evenals verificatie-instellingen en toegangsbeheer.
Azure Databricks biedt beveiligingsfuncties, zoals eenmalige aanmelding, om sterke verificatie te configureren. Beheerders kunnen deze instellingen configureren om accountovernames te helpen voorkomen, waarbij inloggegevens van een gebruiker worden gecompromitteerd met behulp van methoden zoals phishing of brute force, waardoor een aanvaller toegang krijgt tot alle gegevens vanuit de omgeving.
Toegangsbeheerlijsten bepalen wie bewerkingen kan bekijken en uitvoeren op objecten in Azure Databricks-werkruimten, zoals notebooks en SQL Warehouses.
Zie Verificatie en toegangsbeheer voor meer informatie over verificatie en toegangsbeheer in Azure Databricks.
Netwerken
Azure Databricks biedt netwerkbeveiligingen waarmee u Azure Databricks-werkruimten kunt beveiligen en kunt voorkomen dat gebruikers gevoelige gegevens exfiltreren. U kunt IP-toegangslijsten gebruiken om de netwerklocatie van Azure Databricks-gebruikers af te dwingen. Met VNet-injectie (een door de klant beheerd VNet) kunt u uitgaande netwerktoegang vergrendelen. Zie Netwerken voor meer informatie.
Gegevensbeveiliging en -versleuteling
Beveiligingsbewuste klanten uiten soms hun bezorgdheid over dat Databricks zelf mogelijk gecompromitteerd zou kunnen worden, wat zou kunnen leiden tot een compromis van hun omgeving. Azure Databricks heeft een uiterst sterk beveiligingsprogramma dat het risico van een dergelijk incident beheert. Zie het Beveiligings- en Vertrouwenscentrum voor een overzicht van het programma. Dat gezegd hebbende, kan geen enkel bedrijf volledig alle risico's elimineren en Biedt Azure Databricks versleutelingsfuncties voor extra controle over uw gegevens. Zie Gegevensbeveiliging en -versleuteling.
Geheimenbeheer
Soms moet u zich verifiëren bij externe gegevensbronnen voor toegang tot gegevens. Databricks raadt u aan om Databricks-geheimen te gebruiken om uw referenties op te slaan in plaats van uw referenties rechtstreeks in te voeren in een notebook. Zie Geheimbeheer voor meer informatie.
Controle, privacy en naleving
Azure Databricks biedt controlefuncties waarmee beheerders gebruikersactiviteiten kunnen bewaken om beveiligingsafwijkingen te detecteren. U kunt bijvoorbeeld accountovernames monitoren door te waarschuwen voor ongebruikelijke aanmeldtijden of gelijktijdige aanmeldingen op afstand.
Zie Controle, privacy en naleving voor meer informatie.
Hulpprogramma voor beveiligingsanalyse
Belangrijk
De Security Analysis Tool (SAT) is een productiviteitsprogramma met een experimentele status. Het is niet bedoeld om te worden gebruikt als certificering van uw implementaties. Het SAT-project wordt regelmatig bijgewerkt om de juistheid van controles te verbeteren, nieuwe controles toe te voegen en bugs op te lossen.
U kunt het Hulpprogramma voor beveiligingsanalyse (SAT) gebruiken om uw Azure Databricks-account en werkruimtebeveiligingsconfiguraties te analyseren. SAT biedt aanbevelingen waarmee u de best practices voor Databricks-beveiliging kunt volgen. SAT wordt doorgaans dagelijks uitgevoerd als een geautomatiseerde werkstroom. De details van deze controleresultaten worden bewaard in Delta-tabellen in uw opslag, zodat trends in de loop van de tijd kunnen worden geanalyseerd. Deze resultaten worden weergegeven in een gecentraliseerd Azure Databricks-dashboard.
Zie de GitHub-opslagplaats voor beveiligingsanalysehulpprogramma's voor meer informatie.
Meer informatie
Hier volgen enkele bronnen om u te helpen bij het bouwen van een uitgebreide beveiligingsoplossing die voldoet aan de behoeften van uw organisatie:
- Het Databricks Security and Trust Center, dat informatie biedt over de manieren waarop beveiliging is ingebouwd in elke laag van het Databricks-platform.
- Beveiligingsbest practices, die een checklist biedt voor beveiligingspraktijken, overwegingen en patronen die u op uw implementatie kunt toepassen, geleerd uit onze zakelijke samenwerkingen.