Aracılığıyla paylaş

Veri güvenliği ve şifreleme

  • Makale

Bu makalede, verilerinizin korunmasına yardımcı olmak için veri güvenliği yapılandırmaları tanıtabilirsiniz.

Verilerinize erişimin güvenliğini sağlama hakkında bilgi için bkz . Unity Kataloğu ile veri idaresi.

Veri güvenliğine ve şifrelemeye genel bakış

Azure Databricks, verilerinizi korumaya yardımcı olmak için şifreleme özellikleri sağlar. Tüm güvenlik özellikleri tüm fiyatlandırma katmanlarında kullanılamaz. Aşağıdaki tabloda özelliklere ve bunların fiyatlandırma planlarına nasıl uyumlu olduklarına ilişkin bir genel bakış yer alır.

Özellik Fiyatlandırma katmanı
Şifreleme için müşteri tarafından yönetilen anahtarları kullanma Premium
Küme çalışan düğümleri arasındaki trafiği şifreleme Premium
DBFS kökü için çift şifreleme Premium
Sorguları, sorgu geçmişini ve sorgu sonuçlarını şifreleme Premium

Şifreleme için müşteri tarafından yönetilen anahtarları etkinleştirme

Azure Databricks, verilere erişimi korumaya ve denetlemeye yardımcı olmak için müşteri tarafından yönetilen anahtar eklemeyi destekler. Azure Databricks, Azure Key Vault kasalarından ve Azure Key Vault Yönetilen Donanım Güvenlik Modülleri'nden (HSM) müşteri tarafından yönetilen anahtarları destekler. Farklı veri türleri için müşteri tarafından yönetilen üç temel özellik vardır:

  • Yönetilen diskler için müşteri tarafından yönetilen anahtarlar: İşlem düzlemindeki Azure Databricks işlem iş yükleri, Azure yönetilen disklerinde geçici verileri depolar. Varsayılan olarak, yönetilen disklerde depolanan veriler, Microsoft tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullanılarak bekleme durumunda şifrelenir. Yönetilen disk şifrelemesi için kullanmak üzere Azure Databricks çalışma alanınız için kendi anahtarınızı yapılandırabilirsiniz. Bkz. Azure yönetilen diskleri için müşteri tarafından yönetilen anahtarlar.

  • Yönetilen hizmetler için müşteri tarafından yönetilen anahtarlar: Azure Databricks denetim düzlemindeki yönetilen hizmet verileri bekleme sırasında şifrelenir. Aşağıdaki şifrelenmiş veri türlerini korumaya ve erişimi denetlemeye yardımcı olmak üzere yönetilen hizmetler için müşteri tarafından yönetilen bir anahtar ekleyebilirsiniz:

    • Denetim düzleminde depolanan not defteri kaynak dosyaları.
    • Denetim düzleminde depolanan not defterleri için not defteri sonuçları.
    • Gizli dizi yöneticisi API'leri tarafından depolanan gizli diziler.
    • Databricks SQL sorguları ve sorgu geçmişi.
    • Databricks Git klasörleriyle Git tümleştirmesini ayarlamak için kullanılan kişisel erişim belirteçleri veya diğer kimlik bilgileri.

    Yönetilen hizmetler için bkz. Müşteri tarafından yönetilen anahtarlar.

  • DBFS kökü için müşteri tarafından yönetilen anahtarlar: Varsayılan olarak, depolama hesabı Microsoft tarafından yönetilen anahtarlarla şifrelenir. Çalışma alanı depolama hesabındaki tüm verileri şifrelemek için kendi anahtarınızı yapılandırabilirsiniz. Daha fazla bilgi için bkz . DBFS kökü için müşteri tarafından yönetilen anahtarlar.

Azure Databricks'te hangi müşteri tarafından yönetilen temel özelliklerin farklı veri türlerini koruduğu hakkında daha fazla bilgi için bkz . Şifreleme için müşteri tarafından yönetilen anahtarlar.

DBFS için çift şifrelemeyi etkinleştirme

Databricks Dosya Sistemi (DBFS), bir Azure Databricks çalışma alanına takılı, dağıtılmış bir dosya sistemidir ve Azure Databricks kümelerinde kullanılabilir. DBFS, Azure Databricks çalışma alanınızın yönetilen kaynak grubunda bir depolama hesabı olarak kullanılır. DBFS'deki varsayılan konum DBFS kökü olarak bilinir.

Azure Depolama, DBFS kök depolama da dahil olmak üzere bir depolama hesabındaki tüm verileri otomatik olarak şifreler. İsteğe bağlı olarak Azure Depolama altyapısı düzeyinde şifrelemeyi etkinleştirebilirsiniz. Altyapı şifrelemesi etkinleştirildiğinde, bir depolama hesabındaki veriler bir kez hizmet düzeyinde, bir kez de altyapı düzeyinde olmak üzere iki farklı şifreleme algoritması ve iki farklı anahtarla iki kez şifrelenir. Altyapı şifrelemesi ile çalışma alanı dağıtma hakkında daha fazla bilgi edinmek için bkz. DBFS kökü için çift şifrelemeyi yapılandırma.

Sorguları, sorgu geçmişini ve sorgu sonuçlarını şifreleme

Azure Key Vault'taki kendi anahtarınızı kullanarak Databricks SQL sorgularını ve Azure Databricks denetim düzleminde depolanan sorgu geçmişinizi şifreleyebilirsiniz. Diğer ayrıntılar için bkz. Sorguları, sorgu geçmişini ve sorgu sonuçlarını şifreleme

Küme çalışan düğümleri arasındaki trafiği şifreleme

Kullanıcı sorguları ve dönüştürmeleri genellikle şifrelenmiş bir kanal üzerinden kümelerinize gönderilir. Ancak varsayılan olarak bir kümedeki çalışan düğümleri arasında değiştirilen veriler şifrelenmez. Ortamınız bekleyen veya aktarım durumunda olması fark etmeden, verilerin her zaman şifrelenmesini gerektiriyorsa TLS 1.2 bağlantısı üzerinden AES 128 bit şifreleme kullanarak kümelerinizi çalışan düğümleri arasındaki trafiği şifrelemek üzere yapılandıran bir başlatma betiği oluşturabilirsiniz. Daha fazla bilgi için bkz . Küme çalışan düğümleri arasındaki trafiği şifreleme.

Çalışma Alanı ayarlarını yönetme

Azure Databricks çalışma alanı yöneticileri, not defterlerini indirme ve kullanıcı yalıtım kümesi erişim modunu zorlama gibi çalışma alanlarının güvenlik ayarlarını yönetebilir. Daha fazla bilgi için bkz . Çalışma alanınızı yönetme.