Condividi tramite

Sicurezza e crittografia dei dati

  • Articolo

Questo articolo presenta le configurazioni di sicurezza dei dati per proteggere i dati.

Per informazioni sulla protezione dell'accesso ai dati, vedere Governance dei dati con Unity Catalog.

Panoramica della sicurezza e della crittografia dei dati

Azure Databricks offre funzionalità di crittografia per proteggere i dati. Non tutte le funzionalità di sicurezza sono disponibili in tutti i piani tariffari. La tabella seguente contiene una panoramica delle funzionalità e del modo in cui sono allineate ai piani tariffari.

Funzionalità Piano tariffario
Chiavi gestite dal cliente per la crittografia Premium
Crittografare il traffico tra i nodi di lavoro del cluster Premium
Doppia crittografia per la radice DBFS Premium
Crittografare query, cronologia delle query e risultati delle query Premium

Abilitare le chiavi gestite dal cliente per la crittografia

Azure Databricks supporta l'aggiunta di una chiave gestita dal cliente per proteggere e controllare l'accesso ai dati. Azure Databricks supporta chiavi gestite dal cliente da insiemi di credenziali di Azure Key Vault e moduli di protezione hardware gestiti di Azure Key Vault. Esistono tre funzionalità chiave gestite dal cliente per diversi tipi di dati:

  • Chiavi gestite dal cliente per i dischi gestiti: i carichi di lavoro di calcolo di Azure Databricks nel piano di calcolo archiviano i dati temporanei nei dischi gestiti di Azure. Per impostazione predefinita, i dati archiviati nei dischi gestiti vengono crittografati inattivi usando la crittografia lato server con chiavi gestite da Microsoft. È possibile configurare la propria chiave per l'area di lavoro di Azure Databricks da usare per la crittografia del disco gestito. Vedere Chiavi gestite dal cliente per i dischi gestiti di Azure.

  • Chiavi gestite dal cliente per i servizi gestiti: i dati dei servizi gestiti nel piano di controllo di Azure Databricks vengono crittografati inattivi. È possibile aggiungere una chiave gestita dal cliente per i servizi gestiti per proteggere e controllare l'accesso ai tipi di dati crittografati seguenti: file di origine notebook archiviati nel piano di controllo.

    • File di origine del notebook archiviati nel piano di controllo.
    • Risultati dei notebook per i notebook archiviati nel piano di controllo.
    • Segreti archiviati dalle API di gestione dei segreti.
    • Query e cronologia delle query SQL di Databricks.
    • Token di accesso personali o altre credenziali usate per configurare l'integrazione di Git con le cartelle Git di Databricks.

    Vedere Chiavi gestite dal cliente per i servizi gestiti.

  • Chiavi gestite dal cliente per la radice DBFS: per impostazione predefinita, l'account di archiviazione viene crittografato con chiavi gestite da Microsoft. È possibile configurare la propria chiave per crittografare tutti i dati nell'account di archiviazione dell'area di lavoro. Per altre informazioni, vedere Chiavi gestite dal cliente per la radice DBFS.

Per altri dettagli sulle funzionalità delle chiavi gestite dal cliente in Azure Databricks per proteggere tipi diversi di dati, vedere Chiavi gestite dal cliente per la crittografia.

Abilitare la doppia crittografia per DBFS

Il file system di Databricks è un file system distribuito montato in un'area di lavoro di Azure Databricks e disponibile nei cluster Azure Databricks. Il file system di Databricks viene implementato come account di archiviazione nel gruppo di risorse gestite dell'area di lavoro di Azure Databricks. Il percorso predefinito in DBFS è noto come radice DBFS.

Archiviazione di Azure crittografa automaticamente tutti i dati in un account di archiviazione, inclusa l'archiviazione radice DBFS. In via facoltativa, è possibile abilitare la doppia crittografia a livello di infrastruttura di Archiviazione di Azure. Una volta abilitata la crittografia dell'infrastruttura, i dati in un account di archiviazione vengono crittografati due volte (una volta a livello di servizio e una volta a livello di infrastruttura) con due algoritmi di crittografia diversi e due chiavi diverse. Per maggiori informazioni sulla distribuzione di un'area di lavoro con la crittografia dell'infrastruttura, consultare la sezione Configurare la doppia crittografia per la radice DBFS.

Crittografare query, cronologia query e risultati delle query

È possibile usare la propria chiave da Azure Key Vault per crittografare le query SQL di Databricks e la cronologia delle query archiviate nel piano di controllo di Azure Databricks. Per maggiori dettagli, consultare la sezione Crittografia delle query, cronologia delle query e risultati delle query

Crittografare il traffico tra nodi del ruolo di lavoro del cluster

Le query e le trasformazioni degli utenti vengono in genere inviate ai cluster tramite un canale crittografato. Per impostazione predefinita, tuttavia, i dati scambiati tra nodi di lavoro in un cluster non vengono crittografati. Se l'ambiente richiede che i dati vengano crittografati sempre, sia quelli inattivi che quelli in transito, è possibile creare uno script init che configura i cluster per crittografare il traffico tra nodi di lavoro, usando la crittografia AES a 128 bit tramite una connessione TLS 1.2. Per altre informazioni, vedere Crittografare il traffico tra i nodi del ruolo di lavoro del cluster.

Gestire le impostazioni dell'area di lavoro

Gli amministratori dell'area di lavoro di Azure Databricks possono gestire le impostazioni di sicurezza dell'area di lavoro, ad esempio la possibilità di scaricare i notebook e applicare la modalità di accesso al cluster di isolamento dell'utente. Per altre informazioni, vedere Gestire l'area di lavoro.