メインコンテンツまでスキップ

セキュリティ、コンプライアンス、プライバシーのベストプラクティス

Databricks on AWS のセキュリティのベストプラクティスと脅威モデルはSecurity & Trust Center から PDF ドキュメントとしてダウンロードできます。この記事のセクションでは、この柱の原則に沿って PDF で見つけることができるベスト プラクティスを一覧表示します。

1. 最小限の特権を使用して ID とアクセスを管理する

  • アカウントレベルでのシングルサインオン(SSO)による認証
  • 多要素認証の活用
  • 統合ログインを有効にし、緊急アクセスを構成する
  • SCIM を使用してユーザーとグループを同期する
  • 管理者ユーザーの数を制限する
  • 管理アカウント間で職務分掌を徹底する
  • ワークスペース管理者を制限する
  • 最小特権の原則に従ってアクセスを管理する
  • OAuth トークン認証を使用する
  • トークン管理の強制
  • クラスタリングの作成権限を制限する
  • Use コンピュート ポリシー
  • サービスプリンシパルを使用して、管理タスクと本番運用ワークロードを実行します
  • ユーザー分離に対応したコンピュートを使う
  • シークレットを安全に保存して使用する
  • 制限付きクロスアカウント IAMロールを使用する

詳細は、この記事の冒頭で参照されているPDFに記載されています。

2。転送中と保存中のデータを保護します

  • Unity Catalog によるデータガバナンスの一元化
  • データ分離モデルを計画する
  • DBFSでの本番運用データの保存は避ける
  • S3バケットを暗号化し、パブリックアクセスを防止
  • バケットポリシーを適用する
  • S3 バージョン管理を使用する
  • S3データのバックアップ
  • マネージドサービスの顧客管理キーの構成
  • ストレージの顧客管理キーを構成する
  • Delta Sharing を使用する
  • Delta Sharing 受信者トークンの有効期間を構成する
  • さらに、Advanced Encryption Standard(AES)を使用して保存中の機密データを暗号化します
  • ワークスペース内のデータ流出防止設定を活用する
  • クリーンルームを使用して、プライバシーが保護された環境で共同作業を行う

詳細は、この記事の冒頭で参照されているPDFに記載されています。

3. ネットワークを保護し、エンドポイントを保護する

  • 顧客管理VPCを使用する
  • IP アクセス リストの設定
  • AWS PrivateLink を使用する
  • ネットワーク流出防止策を実装
  • 機密性の高いワークロードを異なるネットワークに分離
  • サーバレス コンピュート アクセス用のファイアウォールを構成する
  • 貴重なコードベースへのアクセスを信頼できるネットワークのみに制限

詳細は、この記事の冒頭で参照されているPDFに記載されています。

4. コンプライアンスとデータプライバシーの要件を満たす

  • コンピュートを定期的に再開する
  • 機密性の高いワークロードを異なるワークスペースに分離する
  • Unity Catalog のセキュリティ保護可能なリソースを特定のワークスペースに割り当てる
  • きめ細かなアクセス制御を実装
  • タグの適用
  • リネージを使う
  • AWS Nitro インスタンスを使用する
  • Use Enhanced Security モニタリング または コンプライアンス Security Profile
  • Databricks の担当者のワークスペースアクセスの制御と監視
  • ディザスタリカバリ戦略の実装とテスト

詳細は、この記事の冒頭で参照されているPDFに記載されています。

5. システムセキュリティの監視

  • システムテーブルの活用
  • AWS CloudTrail やその他のログによるシステムアクティビティのモニタリング
  • 詳細な監査ログを有効にする
  • Git フォルダーでコード バージョンを管理する
  • 信頼できるコードリポジトリへの使用制限
  • Infrastructure-as-Codeによるインフラストラクチャのプロビジョニング
  • CI/CD によるコードの管理
  • 制御ライブラリのインストール
  • 信頼できるまたは信頼できるソースからのモデルとデータのみを使用してください
  • DevSecOpsプロセスの実装
  • レイクハウス モニタリングを使用する
  • 推論テーブルと AI ガードレールを使用する
  • タグ付けをコストモニタリングとチャージバック戦略の一部として活用
  • 予算を使用してアカウントの支出を監視する
  • AWS のサービスクォータを使用する

詳細は、この記事の冒頭で参照されているPDFに記載されています。

追加のリソース

- Databricks AI Security Framework (DASF)をダウンロードして確認し、実際の攻撃シナリオに基づいて AI セキュリティの脅威を軽減する方法を理解する