メインコンテンツまでスキップ

セキュリティ、コンプライアンス、プライバシーのベストプラクティス

セキュリティのベストプラクティスについては、Databricks セキュリティおよびセキュリティセンターの [セキュリティ機能] を参照してください。

詳細については、ダウンロード可能なガイド「 Databricks on Google Cloud のセキュリティベストプラクティスと脅威モデル」をご覧ください。

生成AIの場合、Databricks は、AI セキュリティーを管理するための実用的なフレームワークである Databricks AI Security Framework (DASF) を提供します。

次のセクションでは、この柱の原則に沿って PDF で見つけることができるベストプラクティスを一覧表示します。

1. 最小限の特権を使用して ID とアクセスを管理する

シングルサインオンと統合ログインを設定します。
多要素認証を使用します。
管理者アカウントを通常のユーザーアカウントから分離します。
トークン管理を使用します。
ユーザーとグループの SCIM 同期。
クラスターの作成権限を制限します。
シークレットを安全に保管して使用します。
Cross-アカウント IAMロール構成。
顧客が承認したワークスペースログイン。
ユーザーの分離をサポートするクラスターを使用します。
サービスプリンシパルを使用して本番運用ジョブを実行します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

2。転送中と保存中のデータを保護します

本番運用データを DBFSに格納することは避けてください。
クラウドストレージへの安全なアクセス。
管理コンソール内のデータ流出設定を使用します。
バケットのバージョニングを使用します。
ストレージを暗号化し、アクセスを制限します。
マネージドサービスの顧客管理キーを追加します。
ワークスペースストレージに顧客管理キーを追加します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

3. ネットワークを保護し、エンドポイントを特定して保護する

顧客管理VPC または VNet を使用してデプロイします。
IP アクセスリストを使用します。
ネットワーク流出防止策を実装します。
VPC Service Controlsを適用します。
VPC エンドポイントポリシーを使用します。
PrivateLink を構成します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

4. 責任共有モデルを見直す

責任共有モデルを確認します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

5. コンプライアンスとデータプライバシーの要件を満たす

Databricks のコンプライアンス標準を確認します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

6.システムセキュリティを監視します

Databricks 監査ログ配信を使用します。
使用状況を監視し、チャージバックを有効にするようにタグ付けを構成します。
オーバーウォッチを使用してワークスペースを監視します。
プロビジョニングアクティビティを監視します。
Enhanced Security モニタリングまたはコンプライアンス Security Profile を使用します。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

一般的なコントロール

サービスクォータ。
GCP 組織ポリシー。
ライブラリの制御。
機密性の高いワークロードを異なるワークスペースに分離します。
CI/CD プロセスを使用して、ハードコーディングされたシークレットのコードをスキャンします。

詳細は、この記事の冒頭付近で参照されている PDF に記載されています。

1. 最小限の特権を使用して ID とアクセスを管理する
2。転送中と保存中のデータを保護します
3. ネットワークを保護し、エンドポイントを特定して保護する
4. 責任共有モデルを見直す
5. コンプライアンスとデータプライバシーの要件を満たす
6.システムセキュリティを監視します
一般的なコントロール