Pular para o conteúdo principal
Última atualização em

Práticas recomendadas de segurança, compliance e privacidade

O guia de Melhores Práticas de Segurança da Databricks, incluindo um PDF para download, está disponível no Centro de Segurança e Confiabilidade da Databricks. As seções deste artigo listam as melhores práticas deste guia, de acordo com os princípios deste pilar.

1. gerenciar a identidade e o acesso usando o privilégio mínimo

Configuração de conta e identidade

Durante a implementação, configure a administração account Databricks , SSO Sign-On) e o provisionamento de usuários para estabelecer uma base segura:

  • Atribua funções de administrador account apenas a 2 ou 3 pessoas de confiança.
  • Configure o SSO com OIDC ou SAML para autenticação centralizada.
  • Habilite o provisionamento SCIM para automatizar a sincronização de usuários e grupos do seu provedor de identidade.
  • Configure uma federação de identidades para vincular identidades corporativas em todo o espaço de trabalho.
  • Configure a autenticação multifator no nível do provedor de identidade.
  • Defina os procedimentos de acesso de emergência para recuperação account

Para obter instruções passo a passo sobre como configurar account , consulte a Fase 1: Desenhar a estratégia account e identidade.

Melhores práticas de gerenciamento de identidade e acesso

  • Autenticar por meio de logon único (SSO) no nível account
  • Aproveite a autenticação multifator
  • Ative o login unificado e configure o acesso de emergência
  • Use o SCIM para sincronizar usuários e grupos
  • Limitar o número de usuários administradores
  • Aplicar a segregação de funções entre a conta administrativa
  • Restringir os administradores do workspace
  • gerenciar o acesso de acordo com o princípio do menor privilégio
  • Use a autenticação de tokens OAuth
  • Aplicar o gerenciamento de tokens
  • Restringir os direitos de criação de clustering
  • Use as políticas do site compute
  • Usar a entidade de serviço para executar tarefas administrativas e cargas de trabalho de produção
  • Use o site compute que ofereça suporte ao isolamento de usuários
  • Armazene e use segredos com segurança
  • Use um cruzamento restrito -account IAM role

Os detalhes estão no PDF mencionado no início deste artigo.

2. Proteja os dados em trânsito e em repouso

  • Centralize a governança de dados com o Unity Catalog
  • Planeje seu modelo de isolamento de dados
  • Evitar o armazenamento de dados de produção no DBFS
  • Criptografar seus buckets S3 e impedir o acesso público
  • Aplique políticas de bucket
  • Usar o controle de versão do S3
  • Faça backup de seus dados do S3
  • Configurar a chave de gerenciar clientes para o serviço gerenciado
  • Configurar a chave do gerenciador de clientes para armazenamento
  • Use o Delta Sharing
  • Configurar a vida útil dos tokens do destinatário do Delta Sharing
  • Além disso, criptografe dados confidenciais em repouso usando o Advanced Encryption Standard (AES)
  • Utilize as configurações de prevenção de exfiltração de dados no workspace
  • Use salas limpas para colaborar em um ambiente seguro para a privacidade

Os detalhes estão no PDF mencionado no início deste artigo.

3. Proteja sua rede e proteja os endpoints

Considerações sobre a implantação de rede na AWS

Implantei uma infraestrutura de rede segura para o espaço de trabalho Databricks na AWS. Os seguintes passos estabelecem uma conectividade segura:

  • Crie uma VPC com um bloco CIDR /18 no mínimo para implantações workspace
  • Provisionamento de sub-redes privadas em múltiplas Zonas de Disponibilidade para alta disponibilidade.
  • Configure o gateway NAT para acesso à internet de saída a partir de sub-redes privadas.
  • Configure grupos de segurança para controlar o tráfego de entrada e saída dos clusters do Databricks.
  • Implantei AWS PrivateLink para conectividade privada com o plano de controle Databricks
  • Habilite a Conectividade Segura de Cluster (SCC) para eliminar portas abertas de entrada.
  • Configure a VPN ou o Direct Connect para conectividade on-premises (se necessário).
  • Implementar segmentação de rede para isolar ambientes de produção e não produção.

Para obter instruções passo a passo sobre a configuração de rede da AWS, consulte a arquitetura de rede da AWS.

Melhores práticas de segurança de rede

  • Usar um gerenciador de clientes VPC
  • Configurar listas de acesso IP
  • Use o AWS PrivateLink
  • Implemente proteções de exfiltração de rede
  • Isole cargas de trabalho confidenciais em redes diferentes
  • Configure um firewall para acessar serverless compute
  • Restrinja o acesso a bases de código valiosas somente para redes confiáveis

Os detalhes estão no PDF mencionado no início deste artigo.

4. Atender aos requisitos do site compliance e de privacidade de dados

  • Reinicie o site compute em uma programação regular
  • Isolar cargas de trabalho confidenciais em espaços de trabalho diferentes
  • Atribuir Unity Catalog securables a um espaço de trabalho específico
  • Implemente controles de acesso refinados
  • Aplicar tags
  • Use a linhagem
  • Usar instâncias do AWS Nitro
  • Usar o monitoramento de segurança aprimorado ou o perfil de segurança de conformidade
  • Controle & monitore o acesso workspace para o pessoal Databricks
  • Implemente e teste uma estratégia de recuperação de desastres

Os detalhes estão no PDF mencionado no início deste artigo.

5. Monitore a segurança do sistema

  • Aproveite as tabelas do sistema
  • Monitore as atividades do sistema por meio do AWS CloudTrail e outros logs
  • Habilitar registro detalhado de auditoria
  • Gerenciar versões de código com as pastas Git
  • Restrinja o uso a repositórios de código confiáveis
  • provisionamento de infraestrutura via Infrastructure-as-Code
  • gerenciar código via CI/CD
  • Instalação da biblioteca de controle
  • Use modelos e dados somente de fontes confiáveis ou confiáveis
  • Implemente processos de DevSecOps
  • Utilize o monitoramento da qualidade dos dados.
  • Usar tabelas de inferência e AI Guardrails
  • Use a marcação como parte de sua estratégia de monitoramento de custos e de estorno
  • Usar orçamentos para monitorar gastos de contas
  • Usar cotas de serviço do AWS

Os detalhes estão no PDF mencionado no início deste artigo.

Recurso adicional

- Faça o download e analise a estrutura de segurançaDatabricks AI (DASF) para entender como mitigar as ameaças à segurança AI com base em cenários de ataque do mundo real