はじめに
Azure Databricksのドキュメント(Microsoft Learn)で、セキュリティのベストプラクティスについてかかれている章がまだ日本語訳されていなかったため、DeepLで翻訳しました。
セキュリティのベストプラクティス
セキュリティのベストプラクティスは Databricks Security and Trust Center の Security Features にあります。
詳細については、このPDFを参照してください: Azure Databricks Security Best Practices and Threat Model.
以下のセクションでは、この柱の原則(the principles of this pillar)に沿って PDF に記載されているベストプラクティスをリストアップします。
1. 最小権限を使用した ID とアクセスの管理
- シングルサインオンによる認証
- 多要素認証を使用する
- ローカルパスワードを無効にする
- 複雑なローカルパスワードを設定する
- 管理者アカウントを通常のユーザーアカウントから分離する
- トークン管理を使用する
- ユーザとグループのSCIM同期
- クラスタ作成権限を制限する
- シークレットの安全な保管と使用
- クロスアカウントIAMロール設定
- 顧客が承認したワークスペースへのログイン
- ユーザー分離をサポートするクラスタを使用する
- サービスプリンシパルを使用して本番ジョブを実行する
詳細は、この記事の冒頭で参照したPDFに記載されています。
2. 転送中および停止中のデータを保護する
- 本番データをDBFSに保存しない
- クラウド・ストレージへのアクセスを保護する
- 管理コンソール内でデータ流出設定を使用する
- バケットのバージョニングを使用する
- ストレージを暗号化し、アクセスを制限する
- マネージド・サービスに顧客管理キーを追加する
- ワークスペース・ストレージ用に顧客管理キーを追加する
詳細は冒頭のPDFを参照してください。
3. ネットワークの保護、エンドポイントの特定と保護
- 顧客管理のVPCまたはVNetで展開する
- IPアクセスリストを使用する
- ネットワーク流出防止策を導入する
- VPCサービス・コントロールを適用します
- VPCエンドポイントポリシーを使用します
- PrivateLinkを設定する
詳細は、この記事の冒頭で参照したPDFに記載されています。
4. 責任共有モデルの確認
- 共有責任モデルを確認します。
詳細は本記事の冒頭付近で参照されているPDFに記載されています。
5. コンプライアンスおよびデータプライバシー要件を満たす
- Databricks のコンプライアンスプログラムを確認する。
詳細は本記事の冒頭で紹介したPDFを参照してください。
6. システムセキュリティの監視
- Databricksの監査ログ配信を利用する
- 使用量を監視し、チャージバックを可能にするためにタグを設定する
- Overwatchを使用してワークスペースを監視する
- プロビジョニングアクティビティを監視する
- 拡張セキュリティ監視またはコンプライアンス・セキュリティ・プロファイルを使用する
詳細は本記事の冒頭で紹介したPDFを参照してください。
一般的なコントロール
- サービスクォータ
- ライブラリの制御
- 機密性の高いワークロードを別のワークスペースに隔離する
- CI/CDプロセスを使って、コードにハードコードされた秘密がないかスキャンする
詳細は、この記事の冒頭で紹介したPDFを参照されたい。