Práticas recomendadas de segurança, compliance e privacidade
O Databricks on Google Cloud Security Best Practices and Threat Model pode ser baixado como um documento PDF do Security & Trust Center. As seções deste artigo listam as melhores práticas que podem ser encontradas no PDF de acordo com os princípios desse pilar.
1. gerenciar a identidade e o acesso usando o privilégio mínimo
- Aproveite a autenticação multifator
- Use o SCIM para sincronizar usuários e grupos
- Limitar o número de usuários administradores
- Aplicar a segregação de funções entre a conta administrativa
- Restringir os administradores do workspace
- gerenciar o acesso de acordo com o princípio do menor privilégio
- Use a autenticação de tokens OAuth
- Aplicar o gerenciamento de tokens
- Restringir os direitos de criação de clustering
- Use as políticas do site compute
- Usar a entidade de serviço para executar tarefas administrativas e cargas de trabalho de produção
- Use o site compute que ofereça suporte ao isolamento de usuários
- Armazene e use segredos com segurança
- Considere as etapas de fortalecimento pós-implantação
Os detalhes estão no PDF mencionado no início deste artigo.
2. Proteja os dados em trânsito e em repouso
- Centralize a governança de dados com o Unity Catalog
- Planeje seu modelo de isolamento de dados
- Evitar o armazenamento de dados de produção no DBFS
- Proteja seus buckets GCS e impeça o acesso público
- Uso VPC Service Controls
- Proteja seus dados GCS com o soft delete
- Faça backup dos dados do GCS com regiões duplas
- Configurar a chave de gerenciar clientes para o serviço gerenciado
- Configurar a chave do gerenciador de clientes para armazenamento
- Use o Delta Sharing
- Configurar a vida útil dos tokens do destinatário do Delta Sharing
- Além disso, criptografe dados confidenciais em repouso usando o Advanced Encryption Standard (AES)
- Utilize as configurações de prevenção de exfiltração de dados no workspace
Os detalhes estão no PDF mencionado no início deste artigo.
3. Proteja sua rede e proteja os endpoints
- Usar um gerenciador de clientes VPC
- Configurar listas de acesso IP
- Use GCP Private serviço Connect
- Implemente proteções de exfiltração de rede
- Isole cargas de trabalho confidenciais em redes diferentes
- Configure um firewall para acessar serverless compute
- Restrinja o acesso a bases de código valiosas somente para redes confiáveis
Os detalhes estão no PDF mencionado no início deste artigo.
4. Atender aos requisitos do site compliance e de privacidade de dados
- Reinicie o site compute em uma programação regular
- Isolar cargas de trabalho confidenciais em espaços de trabalho diferentes
- Atribuir Unity Catalog securables a um espaço de trabalho específico
- Implemente controles de acesso refinados
- Aplicar tags
- Use a linhagem
- Controle e monitore o acesso ao site workspace para o pessoal do Databricks
- Implemente e teste uma estratégia de recuperação de desastres
Os detalhes estão no PDF mencionado no início deste artigo.
5. Monitore a segurança do sistema
- Aproveite as tabelas do sistema
- Monitore as atividades do sistema por meio dos logs de auditoria do GCP Cloud
- Habilitar registro detalhado de auditoria
- Gerenciar versões de código com as pastas Git
- Restrinja o uso a repositórios de código confiáveis
- provisionamento de infraestrutura via Infrastructure-as-Code
- gerenciar código via CI/CD
- Instalação da biblioteca de controle
- Use modelos e dados somente de fontes confiáveis ou confiáveis
- Implemente processos de DevSecOps
- Use a marcação como parte de sua estratégia de monitoramento de custos e de estorno
- Usar orçamentos para monitorar gastos de contas
- Use as políticas da organização
Os detalhes estão no PDF mencionado no início deste artigo.
Recurso adicional
- Analise o Security and Trust Center para entender como a segurança está incorporada em cada camada da Databricks Data Intelligence Platform e o modelo de responsabilidade compartilhada sob o qual operamos.
- Faça o download e analise a estrutura de segurançaDatabricks AI (DASF) para entender como mitigar as ameaças à segurança AI com base em cenários de ataque do mundo real