Práticas recomendadas de segurança, compliance e privacidade
O Databricks on AWS Security Best Practices and Threat Model pode ser baixado como um documento PDF do Security & Trust Center. As seções deste artigo listam as melhores práticas que podem ser encontradas no PDF de acordo com os princípios desse pilar.
1. gerenciar a identidade e o acesso usando o privilégio mínimo
- Autenticar por meio de logon único (SSO) no nível account
- Aproveite a autenticação multifator
- Ative o login unificado e configure o acesso de emergência
- Use o SCIM para sincronizar usuários e grupos
- Limitar o número de usuários administradores
- Aplicar a segregação de funções entre a conta administrativa
- Restringir os administradores do workspace
- gerenciar o acesso de acordo com o princípio do menor privilégio
- Use a autenticação de tokens OAuth
- Aplicar o gerenciamento de tokens
- Restringir os direitos de criação de clustering
- Use as políticas do site compute
- Usar a entidade de serviço para executar tarefas administrativas e cargas de trabalho de produção
- Use o site compute que ofereça suporte ao isolamento de usuários
- Armazene e use segredos com segurança
- Use um cruzamento restrito -account IAM role
Os detalhes estão no PDF mencionado no início deste artigo.
2. Proteja os dados em trânsito e em repouso
- Centralize a governança de dados com o Unity Catalog
- Planeje seu modelo de isolamento de dados
- Evitar o armazenamento de dados de produção no DBFS
- Criptografar seus buckets S3 e impedir o acesso público
- Aplique políticas de bucket
- Usar o controle de versão do S3
- Faça backup de seus dados do S3
- Configurar a chave de gerenciar clientes para o serviço gerenciado
- Configurar a chave do gerenciador de clientes para armazenamento
- Use o Delta Sharing
- Configurar a vida útil dos tokens do destinatário do Delta Sharing
- Além disso, criptografe dados confidenciais em repouso usando o Advanced Encryption Standard (AES)
- Utilize as configurações de prevenção de exfiltração de dados no workspace
- Use salas limpas para colaborar em um ambiente seguro para a privacidade
Os detalhes estão no PDF mencionado no início deste artigo.
3. Proteja sua rede e proteja os endpoints
- Usar um gerenciador de clientes VPC
- Configurar listas de acesso IP
- Use o AWS PrivateLink
- Implemente proteções de exfiltração de rede
- Isole cargas de trabalho confidenciais em redes diferentes
- Configure um firewall para acessar serverless compute
- Restrinja o acesso a bases de código valiosas somente para redes confiáveis
Os detalhes estão no PDF mencionado no início deste artigo.
4. Atender aos requisitos do site compliance e de privacidade de dados
- Reinicie o site compute em uma programação regular
- Isolar cargas de trabalho confidenciais em espaços de trabalho diferentes
- Atribuir Unity Catalog securables a um espaço de trabalho específico
- Implemente controles de acesso refinados
- Aplicar tags
- Use a linhagem
- Usar instâncias do AWS Nitro
- Usar o monitoramento de segurança aprimorado ou o perfil de segurança de conformidade
- Controle & monitore o acesso workspace para o pessoal Databricks
- Implemente e teste uma estratégia de recuperação de desastres
Os detalhes estão no PDF mencionado no início deste artigo.
5. Monitore a segurança do sistema
- Aproveite as tabelas do sistema
- Monitore as atividades do sistema por meio do AWS CloudTrail e outros logs
- Habilitar registro detalhado de auditoria
- Gerenciar versões de código com as pastas Git
- Restrinja o uso a repositórios de código confiáveis
- provisionamento de infraestrutura via Infrastructure-as-Code
- gerenciar código via CI/CD
- Instalação da biblioteca de controle
- Use modelos e dados somente de fontes confiáveis ou confiáveis
- Implemente processos de DevSecOps
- Use o site lakehouse monitoramento
- Usar tabelas de inferência e AI Guardrails
- Use a marcação como parte de sua estratégia de monitoramento de custos e de estorno
- Usar orçamentos para monitorar gastos de contas
- Usar cotas de serviço do AWS
Os detalhes estão no PDF mencionado no início deste artigo.
Recurso adicional
- Analise o Security and Trust Center para entender como a segurança está incorporada em cada camada da Databricks Data Intelligence Platform e o modelo de responsabilidade compartilhada sob o qual operamos.
- Faça o download e analise a estrutura de segurançaDatabricks AI (DASF) para entender como mitigar as ameaças à segurança AI com base em cenários de ataque do mundo real