有关安全性、合规性和隐私的最佳做法

可以在 Databricks 安全和信任中心的安全功能下找到安全最佳做法。

有关详细信息，请参阅此 PDF：Azure Databricks 安全最佳做法和威胁模型。

对于生成式 AI，Databricks 提供了一个可操作的框架来管理 AI 安全性，该框架是 Databricks AI 安全框架 (DASF)。

以下部分列出了 PDF 中可顺着此支柱的原则找到的最佳做法。

1. 使用最低特权管理标识和访问权限

• 配置单一登录和统一登录。
• 使用多重身份验证。
• 将管理员帐户与普通用户帐户分开。
• 使用令牌管理。
• 用户和组的 SCIM 同步。
• 限制群集创建权限。
• 安全地存储和使用机密。
• 跨帐户 IAM 角色配置。
• 客户批准的工作区登录名。
• 使用支持用户隔离的群集。
• 使用服务主体运行生产作业。

详细信息位于本文开头附近引用的 PDF 中。

2. 保护传输中数据和静态数据

• 避免在 DBFS 中存储生产数据。
• 保护对云存储空间的访问。
• 在管理员控制台中使用数据外泄设置。
• 使用 Bucket 版本控制。
• 加密存储并限制访问。
• 为托管服务添加客户管理的密钥。
• 为工作区存储添加客户管理的密钥。

详细信息位于本文开头附近引用的 PDF 中。

3. 保护网络，识别和保护终结点

• 使用客户管理的 VPC 或 VNet 进行部署。
• 使用 IP 访问列表。
• 实施网络外泄保护。
• 应用 VPC 服务控件。
• 使用 VPC 终结点策略。
• 配置 PrivateLink。

详细信息位于本文开头附近引用的 PDF 中。

4. 查看共担责任模型

• 查看共担责任模型。

详细信息位于本文开头附近引用的 PDF 中。

5. 满足合规性和数据隐私要求

• 查看 Databricks 合规性标准。

详细信息位于本文开头附近引用的 PDF 中。

6. 监视系统安全性

• 使用 Databricks 审核日志传送。
• 配置标记以监视使用情况并允许退款。
• 使用 Overwatch 监视工作区。
• 监视预配活动。
• 使用增强型安全监视或合规性安全配置文件。

详细信息位于本文开头附近引用的 PDF 中。

泛型控件

• 服务配额。
• 控制库。
• 将敏感工作负荷隔离到不同的工作区中。
• 使用 CI/CD 进程来扫描代码以查找硬编码的机密。

详细信息位于本文开头附近引用的 PDF 中。