Azure Databricks e segurança
O Azure Databricks é uma plataforma de análise de dados otimizada para os serviços de nuvem do Azure. Ele oferece três ambientes para o desenvolvimento de aplicativos com uso intensivo de dados:
Para saber mais sobre como o Azure Databricks melhora a segurança da análise de big data, consulte os conceitos do Azure Databricks.
As seções a seguir incluem considerações de design, uma lista de verificação de configuração e opções de configuração recomendadas específicas para o Azure Databricks.
Considerações de design
Todos os blocos de notas e resultados de blocos de notas dos utilizadores são encriptados em repouso, por predefinição. Se outros requisitos estiverem em vigor, considere o uso de chaves gerenciadas pelo cliente para blocos de anotações.
Lista de Verificação
Você configurou o Azure Databricks com a segurança em mente?
- Use a passagem de credenciais do Microsoft Entra ID para evitar a necessidade de entidades de serviço ao se comunicar com o Armazenamento do Azure Data Lake.
- Isole seus espaços de trabalho, computação e dados do acesso público. Certifique-se de que apenas as pessoas certas têm acesso e apenas através de canais seguros.
- Certifique-se de que os espaços de trabalho na nuvem para suas análises só sejam acessíveis por usuários gerenciados corretamente.
- Implemente o Azure Private Link.
- Restrinja e monitore suas máquinas virtuais.
- Use listas de acesso IP dinâmico para permitir que os administradores acessem espaços de trabalho somente de suas redes corporativas.
- Use a funcionalidade de injeção de VNet para habilitar cenários mais seguros.
- Use logs de diagnóstico para auditar o acesso e as permissões do espaço de trabalho.
- Considere usar o recurso de conectividade de cluster seguro e a arquitetura hub/spoke para impedir a abertura de portas e a atribuição de endereços IP públicos em nós de cluster.
Recomendações de configuração
Explore a seguinte tabela de recomendações para otimizar sua configuração do Azure Databricks para segurança:
| Recomendação | Description |
|---|---|
| Certifique-se de que os espaços de trabalho na nuvem para suas análises só sejam acessíveis por usuários gerenciados corretamente. | O Microsoft Entra ID pode lidar com o logon único para acesso remoto. Para segurança extra, consulte Acesso condicional. |
| Implemente o Azure Private Link. | Certifique-se de que todo o tráfego entre os utilizadores da sua plataforma, os blocos de notas e os clusters de computação que processam consultas é encriptado e transmitido através do backbone de rede do fornecedor de cloud, inacessível ao mundo exterior. |
| Restrinja e monitore suas máquinas virtuais. | Os clusters, que executam consultas, devem ter SSH e acesso à rede restrito para evitar a instalação de pacotes arbitrários. Os clusters devem usar apenas imagens que são periodicamente verificadas em busca de vulnerabilidades. |
| Use a funcionalidade de injeção de VNet para habilitar cenários mais seguros. | Tais como: - Conectando-se a outros serviços do Azure usando pontos de extremidade de serviço. - Conexão com fontes de dados locais, aproveitando rotas definidas pelo usuário. - Conectando-se a um dispositivo virtual de rede para inspecionar todo o tráfego de saída e tomar ações de acordo com as regras de permissão e negação. - Usando DNS personalizado. - Implantação de clusters Azure Databricks em redes virtuais existentes. |
| Use logs de diagnóstico para auditar o acesso e as permissões do espaço de trabalho. | Use logs de auditoria para ver a atividade privilegiada em um espaço de trabalho, o redimensionamento do cluster, arquivos e pastas compartilhados no cluster. |
Artefatos de origem
Os artefatos de origem do Azure Databricks incluem o blog Databricks: Práticas recomendadas para proteger uma plataforma de dados em escala empresarial.