本書は抄訳であり内容の正確性を保証するものではありません。正確な内容に関しては原文を参照ください。
Databricks on AWSで、PrivateLinkと暗号化における顧客管理キー(CMK)の利用が正式提供(GA)になったことを発表できて嬉しく思っています!我々は、データがあなたにとって最も価値のある資産であることを理解しており、これらの2つのキーとなるセキュリティ機能のGAによって、Databricksレイクハウスプラットフォームにおける皆様のデータ - 格納時と通信において - さらなるコントロールと保護を提供できるようになります。
PrivateLinkと顧客管理キーは、金融サービスやヘルスケア、ライフサイエンスのように規制の厳しい業界におけるお客様が最も探し求めていた機能の2つとなります。正式提供によって、お客様はGAの保証を必要とする環境で、PrivateLinkと顧客管理キーを活用することができ、彼らの最もセンシティブなユースケースにおいてもDatabricksレイクハウスプラットフォームのメリットを拡張することができます。
この記事では、Databricks on AWSでPrivateLinkとCMKを活用することのメリットを、使用開始方法と併せてハイライトします。
AWS PrivateLinkによるデータのセキュリティ
DatabricksアーキテクチャにおけるPrivateLink
多くのお客様は、トラフィックを公衆ネットワークに露出させることなしに、自身たちのユーザーがデータにアクセスできるようなプライベートネットワークの保証を欲しています。AWS PrivateLinkは、あるAWS環境から別の環境へのプライベートネットワークルートを提供します。今では、AWSにおけるDatabricksのお客様は、Databricksユーザーとコントロールプレーン、コントロールプレーンとデータプレーンの間にPrivateLinkを設定することができます。Databricks on AWSでPrivateLinkを活用することで、以下のメリットを提供します:
- エンドツーエンドのプライベートネットワーク: PrivateLinkを用いることで、皆様のユーザーがデータにアクセスする際のトラフィックをプライベートにルーティングするDatabricksワークスペースをセットアップすることができます。プライベートネットワークでトラフィックをルーティングすることで、誤った設定ミスや、非常に能力の高い攻撃者によるトラフィックの調査のリスクを持続的に削減します。
- データ漏洩対策: PrivateLinkエンドポイントは特定のリソースへのアクセスを許可するので、ネットワークアクセスを厳密に制御することができます。皆様のネットワークにおいてセキュリティ事故が起きた際、マッピングされたリソースしかアクセスできないので、データ漏洩の攻撃を受ける範囲を大幅に削減することができます。
- コンプライアンス要件への準拠: PrivateLinkを用いることで、信頼されたプライベートネットワークでのみ処理が行われる、データ周辺にセキュアな防御線を構築することができます。これによって、最もセンシティブなワークロードにおいてもコンプライアンス要件を満たす助けとなります。
顧客管理キーによる格納データの保護
Databricksは、デフォルトでコントロールプレーンに格納されているお客様のコンテンツを暗号化しますが、いくつかのお客様はコントロールを追加するために、顧客管理キーを活用する能力を好む可能性があります。AWS Key Management Service (AWS KMS)を用いることで、Databricksのお客様はノートブック、シークレット、Databricks SQLのクエリー、Databricks SQLのクエリー履歴、EBSボリュームのようなマネージドサービスのデータやワークスペースのストレージを保護するために、自分の暗号化キーを持ち込むことができます。
Databricks on AWSで顧客管理キーを用いることで、以下のメリットを提供します:
- ご自身のデータに対するコントロールの強化: データを複合に必要なキーをあなたが管理するので、どのように、いつ使用されるのかに関して全体的なコントロールを行えるようになります。ご自身のキーを削除、無効化すると、Databricks(その他の誰も)は当該データを複合化できなくなります。
- 攻撃を受けた際の安全性の改善: 世界中のすべてのベストなセキュリティチームのように、我々はベストを望みつつも最悪に備えています。セキュリティ攻撃の際、シンプルにご自身のCMKへのアクセスを無効化し、それによって、ご自身のデータへのアクセスも無効化します。
- ご自身のローテーションポリシーの強制: プラットフォーム管理のキー(PMK)を使用している際、オーナーが自身のコンプライアンスポリシーに則ってキーをローテーションします。CMKを用いることで、ご自身のコンプライアンスポリシーに沿ってキーをローテーションすることができます。
- アクセスの監視: コントロールの強化に加え、ご自身のキーがどのように、いつ使用されるのかに関する可視性を持つことができます。ご自身のCMKの使用を追跡するためにクラウドネイティブの監視ソリューションを活用し、許可されていないデータへのアクセスの試みを検知することができます。
DatabricksでPrivateLinkとCMKを使い始める
PrivateLinkと顧客管理キーは、Databricks on AWSのエンタープライズプランで使用できます。お使いのAWS上のDatabricksワークスペースでこれらの機能を設定するステップバイステップの手順に関しては、ドキュメント(PrivateLink | CMK)を参照ください。
Databricksにおけるセキュリティプラクティスや利用できる機能の詳細については、Security and Trust Centerにアクセスしてください。