Guide sur la sécurité
Ce guide fournit une vue d’ensemble des fonctionnalités de sécurité qu’une équipe de données d’entreprise peut utiliser pour renforcer son environnement Azure Databricks en fonction de son profil de risque et de sa stratégie de gouvernance.
Ce guide ne comporte pas d’informations sur la sécurisation de vos données. Pour obtenir ces informations, consultez Gouvernance des données avec Unity Catalog.
Authentification et contrôle d’accès.
Dans Azure Databricks, un espace de travail est un déploiement Azure Databricks dans le cloud qui fonctionne comme l’environnement unifié utilisé par un ensemble spécifié d’utilisateurs pour accéder à toutes leurs ressources Azure Databricks. Votre organisation peut choisir d’avoir plusieurs espaces de travail ou un seul : tout dépend de vos besoins. Un compte Azure Databricks représente une entité unique à des fins de facturation, de gestion des utilisateurs et de support. Un compte peut inclure plusieurs espaces de travail et des metastores Unity Catalog.
Les administrateurs de compte effectuent la gestion générale des comptes et les administrateurs d’espace de travail gèrent les paramètres et les fonctionnalités des espaces de travail individuels dans le compte. Les administrateurs de compte et d’espace de travail gèrent les utilisateurs, les principaux de service et les groupes Azure Databricks, ainsi que les paramètres d’authentification et le contrôle d’accès.
Azure Databricks fournit des fonctionnalités de sécurité, telles que l’authentification unique, pour configurer l’authentification forte. Les administrateurs peuvent configurer ces paramètres pour empêcher les prises de contrôle de compte, lors desquelles les informations d’identification appartenant à un utilisateur sont compromises par des méthodes telles que l’hameçonnage ou la force brute, ce qui donne à un attaquant l’accès à toutes les données accessibles à partir de l’environnement.
Les listes de contrôle d’accès déterminent qui peut afficher et effectuer des opérations sur des objets dans des espaces de travail Azure Databricks, tels que des notebooks et des entrepôts SQL.
Pour en savoir plus sur l’authentification et le contrôle d’accès dans Azure Databricks, consultez Authentification et contrôle d’accès.
Mise en réseau
Azure Databricks fournit des protections réseau qui vous permettent de sécuriser les espaces de travail Azure Databricks et d’empêcher les utilisateurs d’exfiltrer des données sensibles. Vous pouvez utiliser des listes d’accès IP pour appliquer l’emplacement réseau des utilisateurs Azure Databricks. À l’aide d’une injection de réseau virtuel (un réseau virtuel géré par le client), vous pouvez verrouiller l’accès au réseau sortant. Pour plus d’informations, consultez Mise en réseau.
Chiffrement et sécurité des données
Les clients soucieux de la sécurité craignent parfois que Databricks soit compromis, ce qui pourrait entraîner la compromission de leur environnement. Azure Databricks dispose d’un programme de sécurité extrêmement robuste qui gère le risque d’un tel incident. Consultez le Centre de sécurité et de gestion de la confidentialité pour obtenir une vue d’ensemble du programme. Cela dit, aucune entreprise ne peut éliminer complètement tous les risques, et Azure Databricks fournit des fonctionnalités de chiffrement pour un contrôle supplémentaire de vos données. Consultez Sécurité et chiffrement des données.
Gestion des secrets
Parfois, l’accès aux données nécessite l’authentification auprès de sources de données externes. Databricks vous recommande d’utiliser des secrets Databricks pour stocker vos informations d’identification plutôt que de saisir directement vos informations d’identification dans un notebook. Pour plus d’informations, consultez Gestion des secrets.
Audit, confidentialité et conformité
Azure Databricks fournit des fonctionnalités d’audit pour permettre aux administrateurs de superviser les activités des utilisateurs afin de détecter les anomalies de sécurité. Par exemple, vous pouvez surveiller les prises de contrôle de compte en alertant lors de connexions à des heures inhabituelles ou de connexions à distance simultanées.
Pour plus d’informations, consultez Audit, confidentialité et conformité.
Outil d’analyse de la sécurité (Security Analysis ou SAT)
Important
L’outil d’analyse de la sécurité (SAT) est un outil de productivité à l’état expérimental . Il n’est pas destiné à être utilisé comme certification pour vos déploiements. Le projet SAT est régulièrement mis à jour pour améliorer l’exactitude des vérifications, ajouter de nouveaux contrôles et corriger les bogues.
Vous pouvez utiliser l’outil d’analyse de la sécurité (SAT) pour analyser votre compte Azure Databricks et les configurations de sécurité de votre espace de travail. SAT offre des suggestions pour suivre les meilleures pratiques de sécurité de Databricks. SAT s’exécute en général au quotidien dans le cadre d’un processus automatisé. Les détails de ces résultats de vérifications sont conservés dans les tableaux Delta de votre stockage pour que les tendances puissent être analysées au fil du temps. Ces résultats sont affichés dans un tableau de bord Azure Databricks centralisé.
Pour plus d’informations, consultez le Référentiel GitHub de l’outil Security Analysis (SAT).
En savoir plus
Voici quelques ressources qui vous aideront à créer une solution de sécurité complète qui répond aux besoins de votre organisation :
- Centre de sécurité et de confidentialité Databricks : fournit des informations sur la façon dont la sécurité est intégrée à chaque couche de la plateforme Databricks.
- Meilleures pratiques pour la sécurité : check-list des pratiques, considérations et modèles de sécurité que vous pouvez appliquer à votre déploiement, apprises de nos engagements d’entreprise.