Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono konfiguracje zabezpieczeń danych ułatwiające ochronę danych.
Aby uzyskać informacje na temat zabezpieczania dostępu do danych, zobacz Zarządzanie danymi za pomocą usługi Azure Databricks.
Omówienie zabezpieczeń i szyfrowania danych
Usługa Azure Databricks udostępnia funkcje szyfrowania, które ułatwiają ochronę danych. Nie wszystkie funkcje zabezpieczeń są dostępne we wszystkich warstwach cenowych. Poniższa tabela zawiera omówienie funkcji i sposobu ich dopasowania do planów cenowych.
| Funkcja | Poziom cenowy |
|---|---|
| Klucze zarządzane przez klienta do szyfrowania | Premium |
| Szyfrowanie ruchu między węzłami roboczymi klastra | Premium |
| Podwójne szyfrowanie dla głównego systemu plików DBFS | Premium |
| Szyfrowanie zapytań, historii zapytań i wyników zapytań | Premium |
Włączanie kluczy zarządzanych przez klienta na potrzeby szyfrowania
Usługa Azure Databricks obsługuje dodawanie klucza zarządzanego przez klienta w celu ochrony i kontrolowania dostępu do danych. Usługa Azure Databricks obsługuje klucze zarządzane przez klienta z magazynów Azure Key Vault i zarządzanych modułów zabezpieczeń sprzętowych Azure Key Vault (HSM). Istnieją trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych:
Klucze zarządzane przez klienta dla dysków zarządzanych: obciążenia robocze Azure Databricks w warstwie obliczeniowej przechowują dane tymczasowe na dyskach zarządzanych w platformie Azure. Domyślnie dane przechowywane na zarządzanych dyskach są szyfrowane w spoczynku przy użyciu szyfrowania po stronie serwera za pomocą kluczy zarządzanych przez Microsoft. Możesz skonfigurować własny klucz dla obszaru roboczego usługi Azure Databricks do użycia na potrzeby szyfrowania dysków zarządzanych. Zobacz Klucze zarządzane przez klienta dla zarządzanych dysków platformy Azure.
Klucze zarządzane przez klienta dla usług zarządzanych: dane usług zarządzanych na płaszczyźnie sterowania usługi Azure Databricks są szyfrowane w spoczynku. Możesz dodać klucz zarządzany przez klienta dla usług zarządzanych, aby chronić i kontrolować dostęp do następujących typów zaszyfrowanych danych:
- Pliki źródłowe notesu przechowywane na płaszczyźnie sterowania.
- Wyniki notatnika dla notatników przechowywanych na płaszczyźnie kontroli.
- Tajne wpisy przechowywane przez interfejsy API menedżera tajemnic.
- Zapytania SQL i historia zapytań usługi Databricks.
- Osobiste tokeny dostępu lub inne poświadczenia używane do konfigurowania integracji Git z folderami Git w Databricks.
Zobacz Klucze zarządzane przez klienta dla usług zarządzanych.
Klucze zarządzane przez klienta dla głównego katalogu plików DBFS: Domyślnie konto magazynu jest szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Możesz skonfigurować własny klucz, aby zaszyfrować wszystkie dane w koncie magazynowym obszaru roboczego. Aby uzyskać więcej informacji, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.
Aby uzyskać więcej informacji na temat funkcji kluczy zarządzanych przez klienta w usłudze Azure Databricks chroniących różne typy danych, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.
Uwaga / Notatka
Dostęp do sieci publicznej do dysków danych platformy Azure jest wyłączony, aby zwiększyć bezpieczeństwo danych dla obszarów roboczych usługi Azure Databricks.
Włączanie podwójnego szyfrowania dla systemu plików DBFS
System plików usługi Databricks (DBFS, Databricks File System) to rozproszony system plików zainstalowany w obszarze roboczym usługi Azure Databricks i dostępny w klastrach usługi Azure Databricks. DBFS jest implementowany jako konto przechowywania w zarządzanej grupie zasobów przestrzeni roboczej Azure Databricks. Domyślna lokalizacja w systemie DBFS jest znana jako katalog główny systemu plików DBFS.
Usługa Azure Storage automatycznie szyfruje wszystkie dane na koncie magazynu, w tym również magazyn główny DBFS. Opcjonalnie możesz włączyć szyfrowanie na poziomie infrastruktury usługi Azure Storage. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwukrotnie, raz na poziomie usługi i raz na poziomie infrastruktury, przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. Aby dowiedzieć się więcej na temat wdrażania obszaru roboczego z szyfrowaniem infrastruktury, zobacz sekcję Konfigurowanie podwójnego szyfrowania dla katalogu głównego DBFS.
Szyfrowanie zapytań, historii zapytań i wyników zapytań
Możesz użyć własnego klucza z usługi Azure Key Vault do szyfrowania zapytań SQL usługi Databricks i historii zapytań przechowywanych na płaszczyźnie sterowania usługi Azure Databricks. Aby uzyskać więcej informacji, zobacz sekcję Szyfrowanie zapytań, historii zapytań i wyników zapytań
Szyfrowanie ruchu między węzłami roboczymi klastra
Zapytania użytkowników i przekształcenia są zazwyczaj wysyłane do klastrów za pośrednictwem zaszyfrowanego kanału. Domyślnie jednak dane wymieniane pomiędzy węzłami roboczymi w klastrze nie są szyfrowane. Jeśli środowisko wymaga szyfrowania danych przez cały czas, niezależnie od tego, czy dane są magazynowane, czy przesyłane, można utworzyć skrypt inicjowania, który konfiguruje klastry do szyfrowania ruchu między węzłami roboczymi przy użyciu szyfrowania 128-bitowego AES za pośrednictwem połączenia TLS 1.3. Aby uzyskać więcej informacji, zapoznaj się z Szyfrowanie ruchu między węzłami pracowników klastra.
Zarządzanie ustawieniami obszaru roboczego
Administratorzy obszarów roboczych usługi Azure Databricks mogą zarządzać ustawieniami zabezpieczeń obszaru roboczego, takimi jak możliwość pobierania notatników i wymuszania trybu dostępu do klastra izolującego użytkowników. Aby uzyskać więcej informacji, zobacz Zarządzanie obszarem roboczym.