Pular para o conteúdo principal

Práticas recomendadas de segurança, compliance e privacidade

O Databricks on AWS Security Best Practices and Threat Model pode ser baixado como um documento PDF do Security & Trust Center. As seções deste artigo listam as melhores práticas que podem ser encontradas no PDF de acordo com os princípios desse pilar.

1. gerenciar a identidade e o acesso usando o privilégio mínimo

  • Autenticar por meio de logon único (SSO) no nível account
  • Aproveite a autenticação multifator
  • Ative o login unificado e configure o acesso de emergência
  • Use o SCIM para sincronizar usuários e grupos
  • Limitar o número de usuários administradores
  • Aplicar a segregação de funções entre a conta administrativa
  • Restringir os administradores do workspace
  • gerenciar o acesso de acordo com o princípio do menor privilégio
  • Use a autenticação de tokens OAuth
  • Aplicar o gerenciamento de tokens
  • Restringir os direitos de criação de clustering
  • Use as políticas do site compute
  • Usar a entidade de serviço para executar tarefas administrativas e cargas de trabalho de produção
  • Use o site compute que ofereça suporte ao isolamento de usuários
  • Armazene e use segredos com segurança
  • Use um cruzamento restrito -account IAM role

Os detalhes estão no PDF mencionado no início deste artigo.

2. Proteja os dados em trânsito e em repouso

  • Centralize a governança de dados com o Unity Catalog
  • Planeje seu modelo de isolamento de dados
  • Evitar o armazenamento de dados de produção no DBFS
  • Criptografar seus buckets S3 e impedir o acesso público
  • Aplique políticas de bucket
  • Usar o controle de versão do S3
  • Faça backup de seus dados do S3
  • Configurar a chave de gerenciar clientes para o serviço gerenciado
  • Configurar a chave do gerenciador de clientes para armazenamento
  • Use o Delta Sharing
  • Configurar a vida útil dos tokens do destinatário do Delta Sharing
  • Além disso, criptografe dados confidenciais em repouso usando o Advanced Encryption Standard (AES)
  • Utilize as configurações de prevenção de exfiltração de dados no workspace
  • Use salas limpas para colaborar em um ambiente seguro para a privacidade

Os detalhes estão no PDF mencionado no início deste artigo.

3. Proteja sua rede e proteja os endpoints

  • Usar um gerenciador de clientes VPC
  • Configurar listas de acesso IP
  • Use o AWS PrivateLink
  • Implemente proteções de exfiltração de rede
  • Isole cargas de trabalho confidenciais em redes diferentes
  • Configure um firewall para acessar serverless compute
  • Restrinja o acesso a bases de código valiosas somente para redes confiáveis

Os detalhes estão no PDF mencionado no início deste artigo.

4. Atender aos requisitos do site compliance e de privacidade de dados

  • Reinicie o site compute em uma programação regular
  • Isolar cargas de trabalho confidenciais em espaços de trabalho diferentes
  • Atribuir Unity Catalog securables a um espaço de trabalho específico
  • Implemente controles de acesso refinados
  • Aplicar tags
  • Use a linhagem
  • Usar instâncias do AWS Nitro
  • Usar o monitoramento de segurança aprimorado ou o perfil de segurança de conformidade
  • Controle & monitore o acesso workspace para o pessoal Databricks
  • Implemente e teste uma estratégia de recuperação de desastres

Os detalhes estão no PDF mencionado no início deste artigo.

5. Monitore a segurança do sistema

  • Aproveite as tabelas do sistema
  • Monitore as atividades do sistema por meio do AWS CloudTrail e outros logs
  • Habilitar registro detalhado de auditoria
  • Gerenciar versões de código com as pastas Git
  • Restrinja o uso a repositórios de código confiáveis
  • provisionamento de infraestrutura via Infrastructure-as-Code
  • gerenciar código via CI/CD
  • Instalação da biblioteca de controle
  • Use modelos e dados somente de fontes confiáveis ou confiáveis
  • Implemente processos de DevSecOps
  • Use o site lakehouse monitoramento
  • Usar tabelas de inferência e AI Guardrails
  • Use a marcação como parte de sua estratégia de monitoramento de custos e de estorno
  • Usar orçamentos para monitorar gastos de contas
  • Usar cotas de serviço do AWS

Os detalhes estão no PDF mencionado no início deste artigo.

Recurso adicional

- Faça o download e analise a estrutura de segurançaDatabricks AI (DASF) para entender como mitigar as ameaças à segurança AI com base em cenários de ataque do mundo real