Segurança e criptografia de dados

Este artigo apresenta as configurações de segurança de dados para ajudar a proteger seus dados.

Para obter informações sobre como proteger o acesso aos seus dados, consulte governança de dados com o Unity Catalog.

Visão geral da segurança e criptografia de dados

Databricks fornece recursos de criptografia para ajudar a proteger seus dados. Nem todos os recursos de segurança estão disponíveis em todos os níveis de preços. A tabela a seguir contém uma visão geral dos recursos e como eles se alinham aos planos de preços.

recurso

nível de preços

Cliente-gerenciar key para criptografia

Empreendimento

Criptografe o tráfego entre os nós worker clusters

Empreendimento

Criptografar query, histórico query e resultados query

Empreendimento

Ativar chaves de geração de cliente para criptografia

O Databricks dá suporte à adição de uma key geradora de cliente para ajudar a proteger e controlar o acesso aos dados. Existem dois recursos key de geração de clientes para diferentes tipos de dados:

  • key geradora do cliente para serviço gerenciado: os dados do serviço gerenciado no plano de controle Databricks são criptografados em repouso. Você pode adicionar uma key de gerenciamento do cliente para o serviço gerenciado para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:

    • Arquivos de origem Notebook que são armazenados no plano de controle.

    • Resultados Notebook para Notebook que são armazenados no plano de controle.

    • Segredos armazenados pelas APIs do gerenciador de segredos.

    • Databricks SQL query e query história.

    • access tokens pessoal ou outras credenciais usadas para configurar a integração do Git com as pastas Git da Databricks.

  • Chave para gerenciar o cliente para o armazenamento workspace: O senhor pode configurar seu próprio key para criptografar os dados no bucket do Amazon S3 em seu AWS account que o senhor especificou quando criou seu workspace. Opcionalmente, o senhor pode usar o mesmo key para criptografar os volumes EBS dos clusters.

Para obter mais detalhes sobre quais recursos chave de geração de cliente no Databricks protegem diferentes tipos de dados, consulte Chaves de geração de cliente para criptografia.

Criptografar consultas, histórico de consultas e resultados de consultas

Você pode usar sua própria key do AWS KMS para criptografar a query Databricks SQL e sua história query armazenada no plano de controle do Databricks. Para obter mais detalhes, consulte Criptografar query, histórico query e resultados query

Criptografar buckets S3 em repouso

A Databricks oferece suporte à criptografia de dados no S3 usando criptografia no lado do servidor. O senhor pode criptografar gravações em S3 com um key de KMS. Isso garante que seus dados estejam seguros em caso de perda ou roubo. Consulte Configurar criptografia para S3 com KMS. Para criptografar seu bucket de armazenamento workspace, consulte Chave de gerenciar o cliente para criptografia.

Para configurar a criptografia no lado do servidor para permitir que tabelas e volumes externos no Unity Catalog acessem dados no S3, consulte Configurar um algoritmo de criptografia em um local externo.

Criptografar o tráfego entre nós de trabalho de clusters

As consultas e transformações do usuário normalmente são enviadas aos clusters por meio de um canal criptografado. Por default, entretanto, os dados trocados entre nós worker em clusters não são criptografados. Se o seu ambiente exigir que os dados sejam criptografados o tempo todo, seja em repouso ou em trânsito, será possível criar um init script que configure seus clusters para criptografar o tráfego entre nós worker , usando criptografia AES de 128 bits em uma conexão TLS 1.2. Para obter mais informações, consulte Criptografar o tráfego entre nós worker de clusters.

gerenciar configurações do espaço de trabalho

Databricks workspace Os administradores podem gerenciar as configurações de segurança do workspace, como a capacidade de download Notebook e a aplicação do modo de acesso de isolamento do usuário cluster. Para obter mais informações, consulte gerenciar seu workspace.