Segurança e criptografia de dados
Este artigo apresenta as configurações de segurança de dados para ajudar a proteger seus dados.
Para obter informações sobre como garantir o acesso aos seus dados, consulte governança de dados com Unity Catalog.
Visão geral da segurança e criptografia de dados
Databricks fornece recurso de criptografia para ajudar a proteger seus dados. Nem todos os recursos de segurança estão disponíveis em todos os níveis de preços. A tabela a seguir contém uma visão geral dos recursos e como eles se alinham aos planos de preços.
Recurso | Nível de preços |
|---|---|
Chaves gerenciadas pelo cliente para criptografia | Enterprise |
Criptografar o tráfego entre nós do trabalhador do cluster | Enterprise |
Criptografar consultas, histórico de consultas e resultados de consultas | Enterprise |
Habilitar a chave gerenciadora de clientes para criptografia
Databricks suporta a adição de um gerenciador de clientes key para ajudar a proteger e controlar o acesso aos dados. Há duas formas de gerenciar o cliente key recurso para diferentes tipos de dados:
-
Chave de gerenciamento de clientes para o serviço gerenciado : os dados do serviço gerenciado no plano de controle do Databricks são criptografados em repouso. O senhor pode adicionar um serviço gerenciado pelo cliente key para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Notebook arquivos de origem que são armazenados no plano de controle.
- Notebook resultados para o Notebook que são armazenados no plano de controle.
- Segredos armazenados pelas APIs do gerenciador de segredos.
- Databricks SQL consultas e histórico de consultas.
- Acesso pessoal tokens ou outras credenciais usadas para configurar a integração Git com as pastas Databricks Git .
-
Chave gerenciadora de clientes para o armazenamento workspace: O senhor pode configurar seu próprio key para criptografar os dados no bucket Amazon S3 em seu AWS account que o senhor especificou quando criou seu workspace. Opcionalmente, o senhor pode usar o mesmo key para criptografar os volumes EBS do clustering.
Para obter mais detalhes sobre como o senhor pode gerenciar key recurso em para Databricks proteger diferentes tipos de dados, consulte Chave de criptografia para gerenciar o cliente.
Criptografar consultas, histórico de consultas e resultados de consultas
key AWS KMS Databricks SQL O Databricks senhor pode usar seu próprio de para criptografar as consultas e seu histórico de consultas armazenado no plano de controle. Para obter mais detalhes, consulte Criptografar consultas, histórico de consultas e resultados de consultas
Criptografar os buckets S3 em repouso
A Databricks oferece suporte à criptografia de dados no S3 usando criptografia no lado do servidor. O senhor pode criptografar gravações em S3 com um key de KMS. Isso garante que seus dados estejam seguros caso sejam perdidos ou roubados. Consulte Configurar criptografia para S3 com KMS. Para criptografar seu bucket de armazenamento workspace, consulte Chave de gerenciar o cliente para criptografia.
Criptografar o tráfego entre o clustering worker nodes
As consultas e transformações do usuário são normalmente enviadas ao seu clustering por um canal criptografado. Por default, no entanto, os dados trocados entre os nós de worker em um clustering não são criptografados. Se o seu ambiente exigir que os dados sejam criptografados o tempo todo, seja em repouso ou em trânsito, o senhor pode criar um init script que configure o clustering para criptografar o tráfego entre os nós do worker, usando a criptografia AES de 128 bits em uma conexão TLS 1.2. Para obter mais informações, consulte Criptografar o tráfego entre os nós do clustering worker.
gerenciar workspace configurações
Databricks workspace Os administradores podem gerenciar as configurações de segurança do workspace, como a capacidade de download Notebook e a aplicação do modo de acesso de clustering de isolamento de usuário. Para obter mais informações, consulte gerenciar seu workspace.