セキュリティ、コンプライアンス、プライバシーのベストプラクティス
セキュリティのベスト プラクティスについては、Databricks セキュリティおよびセキュリティ センターの [セキュリティ機能] を参照してください。
詳細については、ダウンロード可能なガイド「 Databricks on Google Cloud のセキュリティ ベスト プラクティスと脅威モデル」をご覧ください。
生成AIの場合、Databricks は、AI セキュリティーを管理するための実用的なフレームワークである Databricks AI Security Framework (DASF) を提供します。
次のセクションでは、この柱の原則に沿って PDF で見つけることができるベスト プラクティスを一覧表示します。
1. 最小限の特権を使用して ID とアクセスを管理する
- シングルサインオンと統合ログインを設定します。
- 多要素認証を使用します。
- 管理者アカウントを通常のユーザーアカウントから分離します。
- トークン管理を使用します。
- ユーザーとグループの SCIM 同期。
- クラスターの作成権限を制限します。
- シークレットを安全に保管して使用します。
- Cross-アカウント IAMロール構成。
- 顧客が承認したワークスペース ログイン。
- ユーザーの分離をサポートするクラスターを使用します。
- サービスプリンシパルを使用して 本番運用 ジョブを実行します。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。
2。転送中と保存中のデータを保護します
- 本番運用データを DBFSに格納することは避けてください。
- クラウドストレージへの安全なアクセス。
- 管理コンソール内のデータ流出設定を使用します。
- バケットのバージョニングを使用します。
- ストレージを暗号化し、アクセスを制限します。
- マネージドサービスの顧客管理キーを追加します。
- ワークスペース ストレージに顧客管理キーを追加します。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。
3. ネットワークを保護し、エンドポイントを特定して保護する
- 顧客管理VPC または VNet を使用してデプロイします。
- IP アクセス リストを使用します。
- ネットワーク流出防止策を実装します。
- VPC Service Controlsを適用します。
- VPC エンドポイントポリシーを使用します。
- PrivateLink を構成します。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。
4. 責任共有モデルを見直す
- 責任共有モデルを確認します。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。
5. コンプライアンスとデータプライバシーの要件を満たす
- Databricks のコンプライアンス標準を確認します。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。
6.システムセキュリティを監視します
- Databricks 監査ログ配信を使用します。
- 使用状況を監視し、チャージバックを有効にするようにタグ付けを構成します。
- オーバーウォッチを使用してワークスペースを監視します。
- プロビジョニング アクティビティを監視します。
- Enhanced Security モニタリングまたはコンプライアンス Security Profile を使用します。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。
一般的なコントロール
- サービスクォータ。
- GCP 組織ポリシー。
- ライブラリの制御。
- 機密性の高いワークロードを異なるワークスペースに分離します。
- CI/CD プロセスを使用して、ハードコーディングされたシークレットのコードをスキャンします。
詳細は、この記事の冒頭付近で参照されている PDF に記載されています。