メインコンテンツまでスキップ

セキュリティ、コンプライアンス、プライバシーのベストプラクティス

セキュリティのベスト プラクティスについては、Databricks セキュリティおよびセキュリティ センターの [セキュリティ機能] を参照してください。

詳細については、ダウンロード可能なガイド「 Databricks on Google Cloud のセキュリティ ベスト プラクティスと脅威モデル」をご覧ください。

生成AIの場合、Databricks は、AI セキュリティーを管理するための実用的なフレームワークである Databricks AI Security Framework (DASF) を提供します。

次のセクションでは、この柱の原則に沿って PDF で見つけることができるベスト プラクティスを一覧表示します。

1. 最小限の特権を使用して ID とアクセスを管理する

  • シングルサインオンと統合ログインを設定します。
  • 多要素認証を使用します。
  • 管理者アカウントを通常のユーザーアカウントから分離します。
  • トークン管理を使用します。
  • ユーザーとグループの SCIM 同期。
  • クラスターの作成権限を制限します。
  • シークレットを安全に保管して使用します。
  • Cross-アカウント IAMロール構成。
  • 顧客が承認したワークスペース ログイン。
  • ユーザーの分離をサポートするクラスターを使用します。
  • サービスプリンシパルを使用して 本番運用 ジョブを実行します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

2。転送中と保存中のデータを保護します

  • 本番運用データを DBFSに格納することは避けてください。
  • クラウドストレージへの安全なアクセス。
  • 管理コンソール内のデータ流出設定を使用します。
  • バケットのバージョニングを使用します。
  • ストレージを暗号化し、アクセスを制限します。
  • マネージドサービスの顧客管理キーを追加します。
  • ワークスペース ストレージに顧客管理キーを追加します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

3. ネットワークを保護し、エンドポイントを特定して保護する

  • 顧客管理VPC または VNet を使用してデプロイします。
  • IP アクセス リストを使用します。
  • ネットワーク流出防止策を実装します。
  • VPC Service Controlsを適用します。
  • VPC エンドポイントポリシーを使用します。
  • PrivateLink を構成します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

4. 責任共有モデルを見直す

  • 責任共有モデルを確認します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

5. コンプライアンスとデータプライバシーの要件を満たす

  • Databricks のコンプライアンス標準を確認します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

6.システムセキュリティを監視します

  • Databricks 監査ログ配信を使用します。
  • 使用状況を監視し、チャージバックを有効にするようにタグ付けを構成します。
  • オーバーウォッチを使用してワークスペースを監視します。
  • プロビジョニング アクティビティを監視します。
  • Enhanced Security モニタリングまたはコンプライアンス Security Profile を使用します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

一般的なコントロール

  • サービスクォータ。
  • GCP 組織ポリシー。
  • ライブラリの制御。
  • 機密性の高いワークロードを異なるワークスペースに分離します。
  • CI/CD プロセスを使用して、ハードコーディングされたシークレットのコードをスキャンします。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。