Azure Databricks安全最佳实践

Azure砖是一个统一的数据分析平台，是微软Azure云的一部分。bob体育客户端下载建立在…基础上的三角洲湖，MLflow，考拉，Redash而且Apache火花^TM， Azure Databricks是第一方PaaS在Microsoft Azure云上提供一键式设置、与其他Azure云服务的本地集成、交互式工作空间和企业级安全性，为全球大小客户提供数据和AI用例。该平台实bob体育客户端下载现了任何企业中不同数据角色之间的真正协作，如数据工程师、数据科学家、数据分析师和SecOps /云工程。

在本文中，我们将分享一系列云安全特性和功能，企业数据团队可以根据其治理策略利用这些特性和功能来构建Azure Databricks环境。

Azure Databricks安全最佳实践

安全，解锁您的数据湖的真正潜力

了解Azure Databricks如何帮助解决大规模部署、操作和保护云原生数据分析平台所带来的挑战。bob体育客户端下载

带上你自己的关系网

Azure Databricks平台架构是什么样子的，以及如何bob体育客户端下载在自己的企业管理的虚拟网络中设置它，以便根据网络安全团队的要求进行必要的定制。

启用安全的集群连接

在私有子网中部署Azure Databricks工作空间，不需要对网络进行任何入站访问。集群将利用一种安全的连接机制与Azure Databricks基础设施通信，而不需要节点使用公共IP地址。

控制允许哪些网络访问工作区

配置允许列表和阻止列表来控制允许访问Azure Databricks工作空间的网络。

信任Azure Databricks并进行验证

通过在Azure云中配置Azure Databricks诊bob体育客户端下载断日志和其他相关审计日志，可以从谁在做什么和什么时候来查看相关平台活动。

从Azure Databricks安全访问Azure数据源

了解以云原生安全方式将专用虚拟网络中的Azure Databricks集群连接到Azure数据源的不同方式。

Azure Databricks数据泄露保护

了解如何利用云原生安全构造为Azure Databricks环境创建经过实战考验的安全架构，帮助您防止数据泄露。最适用于处理个人身份信息(PII)、受保护健康信息(PHI)和其他类型敏感数据的组织。

为托管服务启用客户管理密钥

Azure Databricks笔记本存储在微软支持的可伸缩管理层中，默认情况下使用微软管理的密钥进行加密。您还可以携带自己管理的每个工作区密钥来加密笔记本。

为DBFS启用客户管理的密钥

Azure Databricks创建根存储帐户(DBFS)客户订阅的每个工作空间。默认情况下，存储帐户使用microsoft管理的密钥加密。您还可以使用自己的托管密钥来加密DBFS存储帐户。

使用Azure AD凭据传递简化数据湖访问

通过在底层使用Azure AD的无缝身份联合来控制谁可以访问哪些数据，并获得云本地可见性，了解谁在处理数据以及何时处理数据。请随意查阅ADLS Gen 2的云本地访问控制而且如何使用Azure存储资源管理器配置它．这类访问管理控件(包括基于角色的访问控件)可以被Azure Databricks无缝地利用，如本文所述。

使用Azure Active Directory令牌进行身份验证

只要可能，请使用Azure活动目录(AAD)令牌来利用Azure Databricks工作区的非ui功能，包括REST API，电源BI连通性而且砖连接．对于使用REST API运行作业工作负载，我们建议使用带有AAD令牌的Azure服务主体．

个人访问令牌的令牌管理

对于必须使用Azure Databricks个人访问令牌(PAT)的用例，我们建议只允许必需的用户能够配置这些令牌。如果不能对作业工作负载使用AAD令牌，我们建议为服务主体而不是单个用户创建PAT令牌。

Azure Databricks是HITRUST CSF认证

Azure Databricks是HITRUST CSF认证达到安全及风险控制的要求，以配合客户的监管要求。除了HIPAA合规性之外，它还适用于Microsoft Azure BAA。

接下来是什么?

参加Azure Databricks安全最佳实践网络研讨会并收藏此页，因为我们将不断更新与安全相关的新功能和控件。如果您想尝试上述功能，请从在自己托管的VNET中创建Azure Databricks工作空间．