セキュリティ、コンプライアンス、プライバシーのベストプラクティス
Databricks on AWS のセキュリティのベストプラクティスと脅威モデルは、Security & Trust Center から PDF ドキュメントとしてダウンロードできます。この記事のセクションでは、この柱の原則に沿って PDF で見つけることができるベスト プラクティスを一覧表示します。
1. 最小限の特権を使用して ID とアクセスを管理する
- アカウントレベルでのシングルサインオン(SSO)による認証
- 多要素認証の活用
- 統合ログインを有効にし、緊急アクセスを構成する
- SCIM を使用してユーザーとグループを同期する
- 管理者ユーザーの数を制限する
- 管理アカウント間で職務分掌を徹底する
- ワークスペース管理者を制限する
- 最小特権の原則に従ってアクセスを管理する
- OAuth トークン認証を使用する
- トークン管理の強制
- クラスタリングの作成権限を制限する
- Use コンピュート ポリシー
- サービスプリンシパルを使用して、管理タスクと本番運用ワークロードを実行します
- ユーザー分離に対応したコンピュートを使う
- シークレットを安全に保存して使用する
- 制限付きクロスアカウント IAMロールを使用する
詳細は、この記事の冒頭で参照されているPDFに記載されています。
2。転送中と保存中のデータを保護します
- Unity Catalog によるデータガバナンスの一元化
- データ分離モデルを計画する
- DBFSでの本番運用データの保存は避ける
- S3バケットを暗号化し、パブリックアクセスを防止
- バケットポリシーを適用する
- S3 バージョン管理を使用する
- S3データのバックアップ
- マネージドサービスの顧客管理キーの構成
- ストレージの顧客管理キーを構成する
- Delta Sharing を使用する
- Delta Sharing 受信者トークンの有効期間を構成する
- さらに、Advanced Encryption Standard(AES)を使用して保存中の機密データを暗号化します
- ワークスペース内のデータ流出防止設定を活用する
- クリーンルームを使用して、プライバシーが保護された環境で共同作業を行う
詳細は、この記事の冒頭で参照されているPDFに記載されています。
3. ネットワークを保護し、エンドポイントを保護する
- 顧客管理VPCを使用する
- IP アクセス リストの設定
- AWS PrivateLink を使用する
- ネットワーク流出防止策を実装
- 機密性の高いワークロードを異なるネットワークに分離
- サーバレス コンピュート アクセス用のファイアウォールを構成する
- 貴重なコードベースへのアクセスを信頼できるネットワークのみに制限
詳細は、この記事の冒頭で参照されているPDFに記載されています。
4. コンプライアンスとデータプライバシーの要件を満たす
- コンピュートを定期的に再開する
- 機密性の高いワークロードを異なるワークスペースに分離する
- Unity Catalog のセキュリティ保護可能なリソースを特定のワークスペースに割り当てる
- きめ細かなアクセス制御を実装
- タグの適用
- リネージを使う
- AWS Nitro インスタンスを使用する
- Use Enhanced Security モニタリング または コンプライアンス Security Profile
- Databricks の担当者のワークスペースアクセスの制御と監視
- ディザスタリカバリ戦略の実装とテスト
詳細は、この記事の冒頭で参照されているPDFに記載されています。
5. システムセキュリティの監視
- システムテーブルの活用
- AWS CloudTrail やその他のログによるシステムアクティビティのモニタリング
- 詳細な監査ログを有効にする
- Git フォルダーでコード バージョンを管理する
- 信頼できるコードリポジトリへの使用制限
- Infrastructure-as-Codeによるインフラストラクチャのプロビジョニング
- CI/CD によるコードの管理
- 制御ライブラリのインストール
- 信頼できるまたは信頼できるソースからのモデルとデータのみを使用してください
- DevSecOpsプロセスの実装
- レイクハウス モニタリングを使用する
- 推論テーブルと AI ガードレールを使用する
- タグ付けをコストモニタリングとチャージバック戦略の一部として活用
- 予算を使用してアカウントの支出を監視する
- AWS のサービスクォータを使用する
詳細は、この記事の冒頭で参照されているPDFに記載されています。
追加のリソース
- セキュリティ&トラストセンターを見直して、Databricks Data Intelligence Platform の各レイヤーにセキュリティがどのように組み込まれているか、また、私たちが運用している責任共有モデルについて理解してください。
- Databricks AI Security Framework (DASF)をダウンロードして確認し、実際の攻撃シナリオに基づいて AI セキュリティの脅威を軽減する方法を理解する