Configurar a criptografia dupla para a raiz do DBFS

  • Artigo

Observação

Esse recurso está disponível somente com o plano Premium.

O DBFS (Databricks File System) é um sistema de arquivos distribuído montado em um workspace do Azure Databricks e disponível em clusters do Azure Databricks. O DBFS é implementado como uma conta de armazenamento no grupo de recursos gerenciados do seu workspace do Azure Databricks. O local padrão no DBFS é conhecido como a raiz DBFS.

O Armazenamento do Azure criptografa automaticamente todos os dados na conta de armazenamento do workspace, inclusive o armazenamento raiz do DBFS, no nível de serviço usando criptografia AES de 256 bits. Essa é uma das codificações de bloco mais fortes disponíveis e está em conformidade com o FIPS 140-2. Os clientes que precisam de níveis mais altos de garantia de segurança dos seus dados também podem habilitar a criptografia AES de 256 bits no nível da infraestrutura do Armazenamento do Azure. Quando a criptografia dupla está habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma no nível do serviço e outra no nível da infraestrutura, com dois algoritmos de criptografia diferentes e duas chaves distintas. A criptografia dupla de dados do Armazenamento do Azure protege contra um cenário em que pode haver comprometimento de um dos algoritmos ou de uma das chaves de criptografia. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.

Este artigo descreve como criar um workspace que adicione criptografia de infraestrutura (e, portanto, criptografia dupla) à conta de armazenamento do workspace. Você deve habilitar a criptografia de infraestrutura na criação do espaço de trabalho; não é possível adicionar criptografia de infraestrutura a um espaço de trabalho já existente.

Requisitos

Criar um espaço de trabalho com criptografia dupla usando o portal do Azure

Para criar um espaço de trabalho usando o portal do Azure, siga as instruções contidas em Início Rápido: executar um trabalho do Spark no Espaço de Trabalho do Azure Databricks usando o portal do Azure, adicionando estas etapas:

  1. No PowerShell, execute os comandos a seguir, que permitirão habilitar a criptografia de infraestrutura no portal do Azure.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Na página Criar um espaço de trabalho do Azure Databricks (criar um recurso >Analytics > Azure Databricks), clique na guia Avançado.

  3. Ao lado de Habilitar Criptografia de Infraestrutura, selecione Sim.

    Habilitar criptografia dupla na criação de workspace

  4. Após concluir a configuração do espaço de trabalho e criá-lo, verifique se a criptografia de infraestrutura está habilitada.

    Na página de recursos do espaço de trabalho do Azure Databricks, acesse o menu da barra lateral e selecione Configurações > Criptografia. Confirme se a opção Habilitar Criptografia de Infraestrutura está selecionada.

    Verificar criptografia dupla após criação de workspace

Criar um espaço de trabalho com criptografia dupla usando o PowerShell

Siga as instruções contidas em Início Rápido: criar um espaço de trabalho do Azure Databricks usando o PowerShell, adicionando a opção -RequireInfrastructureEncryption ao comando executado na etapa Criar um espaço de trabalho de Azure Databricks:

Por exemplo,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Após a criação do espaço de trabalho, verifique se a criptografia de infraestrutura está habilitada. Execute:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption deve ser definido como true.

Para obter mais informações sobre cmdlets do PowerShell para espaços de trabalho do Azure Databricks, consulte a Referência do módulo Az.Databricks.

Criar um espaço de trabalho com criptografia dupla usando a CLI do Azure

Ao criar um espaço de trabalho usando a CLI do Azure, inclua a opção --require-infrastructure-encryption.

Por exemplo,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Após a criação do espaço de trabalho, verifique se a criptografia de infraestrutura está habilitada. Execute:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

O campo requireInfrastructureEncryption deve estar presente na propriedade de criptografia e ser definido como true.

Para obter mais informações sobre comandos da CLI do Azure para espaços de trabalho do Azure Databricks, consulte a referência de comandos do espaço de trabalho do az databricks.