セキュリティ、コンプライアンス、プライバシーのベストプラクティス

  • [アーティクル]

セキュリティのベスト プラクティスは、Databricks の Security and Trust Center の「Security Features (セキュリティ機能)」に記載されています。

詳細については、次の PDF を参照してください: 「Azure Databricks Security Best Practices and Threat Model (Azure Databricks のセキュリティのベスト プラクティスと脅威モデル)」。

生成 AI の場合、Databricks は AI セキュリティを管理するための実用的なフレームワークである Databricks AI Security Framework (DASF) を提供します。

以下のセクションでは、この柱の原則に沿って PDF に記載されているベスト プラクティスについて示します。

1.最小の特権を使って ID とアクセスを管理する

  • シングル サインオンと統合ログインを構成します。
  • 多要素認証を使用します。
  • 管理者アカウントと通常のユーザー アカウントを分離する。
  • トークン管理を使う。
  • ユーザーとグループの SCIM 同期。
  • クラスターの作成権限を制限する。
  • セキュリティで保護された方法でシークレットを保存して使う。
  • クロスアカウント IAM ロールの構成。
  • 顧客が承認したワークスペース ログイン。
  • ユーザーの分離をサポートするクラスターを使う。
  • サービス プリンシパルを使って運用ジョブを実行する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

2.転送中および保存中のデータを暗号化する

  • 運用データを DBFS に格納しない。
  • クラウド ストレージへのアクセスをセキュリティで保護する。
  • 管理コンソール内でデータ流出設定を使う。
  • バケットのバージョン管理を使う。
  • ストレージを暗号化し、アクセスを制限する。
  • 管理サービス用にカスタマー マネージド キーを追加する。
  • ワークスペース ストレージ用にカスタマー マネージド キーを追加する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

3.ネットワークをセキュリティで保護し、エンドポイントを特定して保護する

  • カスタマー マネージド VPC または VNet を使ってデプロイする。
  • IP アクセス リストを使う。
  • ネットワーク流出保護を実装する。
  • VPC サービス コントロールを適用する。
  • VPC エンドポイント ポリシーを使う。
  • PrivateLink を構成する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

4.共同責任モデルを確認する

  • 共有責任モデルを確認します。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

5.コンプライアンスとデータ プライバシーの要件を満たす

  • Databricks コンプライアンス標準を確認する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

6.システムのセキュリティを監視する

  • Databricks 監査ログの配信を使う。
  • 使用状況を監視し、チャージバックを有効にするようにタグ付けを構成する。
  • Overwatch を使ってワークスペースを監視する。
  • プロビジョニング アクティビティを監視する。
  • セキュリティ強化監視またはコンプライアンス セキュリティ プロファイルを使う。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

汎用的なコントロール

  • サービス クォータ。
  • ライブラリの制御。
  • 機密性の高いワークロードを異なるワークスペースに分離する。
  • CI/CD プロセスを使って、ハードコーディングされたシークレットのコードをスキャンする。

詳細については、この記事の冒頭に記載されている PDF を参照してください。