Amazon
Web Services
Microsoft Azure
Google Cloud Platformセキュリティとコンプライアンスのガイド
このガイドでは、エンタープライズデータチームがリスクプロファイルとガバナンスポリシーに従ってDatabricks環境を強化するために使用できるセキュリティ機能の概要について説明します。
このガイドでは、データの保護に関する情報は説明しません。 その情報については、 Unity Catalogを使用したデータガバナンスを参照してください。
注
この記事では、Databricks プラットフォームの最新 (E2) バージョンに焦点を当てます。 ここで説明する機能の一部は、E2 プラットフォームに移行していないレガシー展開ではサポートされない場合があります。
認証とアクセス制御
Databricksにおいて、ワークスペースはクラウド内のDatabricksデプロイメントであり、指定された一連のユーザーがすべてのDatabricksアセットにアクセスするために使用する統合環境として機能します。組織は、ニーズに応じて、複数のワークスペースを使用するか、ワークスペースを1つだけ使用するかを選択できます。Databricksアカウントは、請求、ユーザー管理、およびサポートを目的とした単一のエンティティを表します。アカウントには複数のワークスペースとUnity Catalogメタストアが含まれることがあります。
一般的なアカウント管理はアカウント管理者が行い、アカウント内の個々のワークスペースの設定と機能の管理はワークスペース管理者が行います。Databricksユーザー、サービスプリンシパル、グループ、認証設定、アクセス制御の管理は、アカウント管理者とワークスペース管理者の両方が行います。
Databricksは、強固な認証を構成するために、シングルサインオンなどのセキュリティ機能を提供しています。管理者はこれらの設定を構成することで、フィッシングやブルートフォースなどの方法でユーザーの資格情報が侵害され、攻撃者が環境からアクセス可能なすべてのデータにアクセスできるようになるアカウントの乗っ取りを防ぐことができます。
アクセス制御リストは、Databricksワークスペース内のオブジェクト(ノートブックやSQLウェアハウスなど)を閲覧および操作できるユーザーを決定します。
Databricksでの認証とアクセス制御の詳細については、「認証とアクセス制御」を参照してください。
ネットワーキング
Databricks は、Databricks ワークスペースを保護し、ユーザーによる機密データの漏洩を防止できるネットワーク保護を提供します。 IP アクセス リストを使用して、Databricks ユーザーのネットワークの場所を強制できます。 顧客管理 VPC を使用すると、送信ネットワーク アクセスをロックダウンできます。 詳細については、「 ネットワーク」を参照してください。
データセキュリティと暗号化
セキュリティを重視するお客様は、Databricks自体が侵害される可能性や、その結果、環境が侵害される可能性について懸念を抱く場合があります。Databricksには、このようなインシデントのリスクを管理する非常に強力なセキュリティプログラムがあります。プログラムの概要については、「セキュリティとトラストセンター」を参照してください。ただし、すべてのリスクを完全に排除できる企業は存在しないため、Databricksはデータをさらに制御するための暗号化機能を提供しています。「データのセキュリティと暗号化」を参照してください。
シークレット管理
データにアクセスするには、外部データソースに対する認証が必要になる場合があります。Databricksでは、資格情報をノートブックに直接入力するのではなく、Databricksシークレットを使用して資格情報を保存することをお勧めしています。詳細については、「シークレット管理」を参照してください。
監査、プライバシー、コンプライアンス
Databricksには監査機能があり、管理者はユーザーの行動を監視してセキュリティの異常を検出することができます。例えば、通常とは異なる時間帯のログインやリモートからの同時ログインを警告することで、アカウントの乗っ取りを監視することができます。
Databricksは、HIPAAやPCIなどの多くのコンプライアンス標準のセキュリティ要件を満たすのに役立つ管理策も提供します。
詳細については、「監査、プライバシー、コンプライアンス」を参照してください。
セキュリティ分析ツール
実験段階
セキュリティ分析ツール(SAT)は、実験段階の生産性向上ツールです。これは、デプロイメントを証明するためのものではありません。SATプロジェクトは定期的に更新され、チェックの正確性を向上させています。また、新しいチェックの追加やバグの修正も行われています。
セキュリティ分析ツール(SAT)を使用すると、Databricksアカウントとワークスペースのセキュリティ構成を分析できます。SATは、Databricksのセキュリティベストプラクティスに従うための推奨事項を提供しています。SATは通常、自動化されたワークフローとして毎日実行されます。これらのチェック結果の詳細は、ストレージ内のDeltaテーブルに保存されるため、時間の経過とともに傾向を分析することができます。これらの結果は、一元化されたDatabricksダッシュボードに表示されます。
詳細については、セキュリティ分析ツールのGitHubリポジトリを参照してください。
詳細情報
組織のニーズを満たす包括的なセキュリティソリューションを構築するのに役立つリソースをいくつか紹介します。
Databricks Security and Trust Center は、Databricks プラットフォームのすべてのレイヤーにセキュリティを組み込む方法に関する情報を提供します。
セキュリティベストプラクティス:私たちのエンタープライズとの関わりから学んだベストプラクティスをもとに作成され、お客様のデプロイメントに適用できるセキュリティのプラクティス、考慮事項、パターンのチェックリストが記載されています。
