有关安全性、合规性和隐私的最佳做法

可以在 Databricks 安全和信任中心的安全功能下找到安全最佳做法。

有关详细信息,请参阅此 PDF:Azure Databricks 安全最佳做法和威胁模型

对于生成式 AI,Databricks 提供了一个可操作的框架来管理 AI 安全性,该框架是 Databricks AI 安全框架 (DASF)。

以下部分列出了 PDF 中可顺着此支柱的原则找到的最佳做法。

1. 使用最低特权管理标识和访问权限

  • 配置单一登录和统一登录。
  • 使用多重身份验证。
  • 将管理员帐户与普通用户帐户分开。
  • 使用令牌管理。
  • 用户和组的 SCIM 同步。
  • 限制群集创建权限。
  • 安全地存储和使用机密。
  • 跨帐户 IAM 角色配置。
  • 客户批准的工作区登录名。
  • 使用支持用户隔离的群集。
  • 使用服务主体运行生产作业。

详细信息位于本文开头附近引用的 PDF 中。

2. 保护传输中数据和静态数据

  • 避免在 DBFS 中存储生产数据。
  • 保护对云存储空间的访问。
  • 在管理员控制台中使用数据外泄设置。
  • 使用 Bucket 版本控制。
  • 加密存储并限制访问。
  • 为托管服务添加客户管理的密钥。
  • 为工作区存储添加客户管理的密钥。

详细信息位于本文开头附近引用的 PDF 中。

3. 保护网络,识别和保护终结点

  • 使用客户管理的 VPC 或 VNet 进行部署。
  • 使用 IP 访问列表。
  • 实施网络外泄保护。
  • 应用 VPC 服务控件。
  • 使用 VPC 终结点策略。
  • 配置 PrivateLink。

详细信息位于本文开头附近引用的 PDF 中。

4. 查看共担责任模型

  • 查看共担责任模型。

详细信息位于本文开头附近引用的 PDF 中。

5. 满足合规性和数据隐私要求

  • 查看 Databricks 合规性标准。

详细信息位于本文开头附近引用的 PDF 中。

6. 监视系统安全性

  • 使用 Databricks 审核日志传送。
  • 配置标记以监视使用情况并允许退款。
  • 使用 Overwatch 监视工作区。
  • 监视预配活动。
  • 使用增强型安全监视或合规性安全配置文件。

详细信息位于本文开头附近引用的 PDF 中。

泛型控件

  • 服务配额。
  • 控制库。
  • 将敏感工作负荷隔离到不同的工作区中。
  • 使用 CI/CD 进程来扫描代码以查找硬编码的机密。

详细信息位于本文开头附近引用的 PDF 中。