本書は抄訳であり内容の正確性を保証するものではありません。正確な内容に関しては原文を参照ください。
Azure Databricksで、Private Linkと暗号化における顧客管理キー(CMK)の利用が正式提供(GA)になったことを発表できて嬉しく思っています!我々は、データがあなたにとって最も価値のある資産であることを理解しており、これらの2つのキーとなるセキュリティ機能のGAによって、Databricksレイクハウスプラットフォームにおける皆様のデータ - 格納時と通信において - さらなるコントロールと保護を提供できるようになります。
Private Linkと顧客管理キーは、金融サービスやヘルスケア、ライフサイエンスのように規制の厳しい業界におけるお客様が最も探し求めていた機能の2つとなります。正式提供によって、お客様はGAの保証を必要とする環境で、Private Linkと顧客管理キーを活用することができ、彼らの最もセンシティブなユースケースにおいてもDatabricksレイクハウスプラットフォームのメリットを拡張することができます。
この記事では、Azure DatabricksでPrivate LinkとCMKを活用することのメリットを、使用開始方法と併せてハイライトします。
AWS Private Linkによるデータのセキュリティ
DatabricksアーキテクチャにおけるPrivateLink
多くのお客様は、トラフィックを公衆ネットワークに露出させることなしに、自身たちのユーザーがデータにアクセスできるようなプライベートネットワークの保証を欲しています。Azure Private Linkは、あるAzure環境から別の環境へのプライベートネットワークルートを提供します。今では、Azure Databricksのお客様は、Databricksユーザーとコントロールプレーン、コントロールプレーンとデータプレーンの間にPrivate Linkを設定することができます。Azure DatabricksでPrivate Linkを活用することで、以下のメリットを提供します:
- エンドツーエンドのプライベートネットワーク: Private Linkを用いることで、皆様のユーザーがデータにアクセスする際のトラフィックをプライベートにルーティングする Azure Databricksワークスペースをセットアップすることができます。プライベートネットワークでトラフィックをルーティングすることで、誤った設定ミスや、非常に能力の高い攻撃者によるトラフィックの調査のリスクを持続的に削減します。
- データ漏洩対策: Private Linkエンドポイントは特定のリソースへのアクセスを許可するので、ネットワークアクセスを厳密に制御することができます。皆様のネットワークにおいてセキュリティ事故が起きた際、マッピングされたリソースしかアクセスできないので、データ漏洩の攻撃を受ける範囲を大幅に削減することができます。
- コンプライアンス要件への準拠: Private Linkを用いることで、信頼されたプライベートネットワークでのみ処理が行われる、データ周辺にセキュアな防御線を構築することができます。これによって、最もセンシティブなワークロードにおいてもコンプライアンス要件を満たす助けとなります。
顧客管理キーによる格納データの保護
DatabricksアーキテクチャにおけるCMK
Databricksは、デフォルトでコントロールプレーンに格納されているお客様のコンテンツを暗号化しますが、いくつかのお客様はコントロールを追加するために、顧客管理キーを活用する能力を好む可能性があります。Microsoft Key Vault for Azure Databricksを用いることで、Azureのお客様はノートブック、シークレット、Databricks SQLのクエリー、Databricks SQLのクエリー履歴、EBSボリュームのようなマネージドサービスのデータやワークスペースのストレージを保護するために、自分の暗号化キーを持ち込むことができます。
Azure Databricksで顧客管理キーを用いることで、以下のメリットを提供します:
- ご自身のデータに対するコントロールの強化: データを複合に必要なキーをあなたが管理するので、どのように、いつ使用されるのかに関して全体的なコントロールを行えるようになります。ご自身のキーを削除、無効化すると、 Azure Databricks(その他の誰も)は当該データを複合化できなくなります。
- 攻撃を受けた際の安全性の改善: 世界中のすべてのベストなセキュリティチームのように、我々はベストを望みつつも最悪に備えています。セキュリティ攻撃の際、シンプルにご自身のCMKへのアクセスを無効化し、それによって、ご自身のデータへのアクセスも無効化します。
- ご自身のローテーションポリシーの強制: プラットフォーム管理のキー(PMK)を使用している際、オーナーが自身のコンプライアンスポリシーに則ってキーをローテーションします。CMKを用いることで、ご自身のコンプライアンスポリシーに沿ってキーをローテーションすることができます。
- アクセスの監視: コントロールの強化に加え、ご自身のキーがどのように、いつ使用されるのかに関する可視性を持つことができます。ご自身のCMKの使用を追跡するためにクラウドネイティブの監視ソリューションを活用し、許可されていないデータへのアクセスの試みを検知することができます。
Azure DatabricksでPrivate LinkとCMKを使い始める
Private Linkと顧客管理キーは、Azure Databricksのプレミアムプランで使用できます。お使いAzure Databricksワークスペースでこれらの機能を設定するステップバイステップの手順に関しては、ドキュメント(Private Link | CMK)を参照ください。
Databricksにおけるセキュリティプラクティスや利用できる機能の詳細については、Security and Trust Centerにアクセスしてください。