有关安全性、合规性和隐私的最佳做法
可以在 Databricks 安全和信任中心的安全功能下找到安全最佳做法。
有关详细信息,请参阅此 PDF:Azure Databricks 安全最佳做法和威胁模型。
对于生成式 AI,Databricks 提供了一个可操作的框架来管理 AI 安全性,该框架是 Databricks AI 安全框架 (DASF)。
以下部分列出了 PDF 中可顺着此支柱的原则找到的最佳做法。
1. 使用最低特权管理标识和访问权限
- 配置单一登录和统一登录。
- 使用多重身份验证。
- 将管理员帐户与普通用户帐户分开。
- 使用令牌管理。
- 用户和组的 SCIM 同步。
- 限制群集创建权限。
- 安全地存储和使用机密。
- 跨帐户 IAM 角色配置。
- 客户批准的工作区登录名。
- 使用支持用户隔离的群集。
- 使用服务主体运行生产作业。
详细信息位于本文开头附近引用的 PDF 中。
2. 保护传输中数据和静态数据
- 避免在 DBFS 中存储生产数据。
- 保护对云存储空间的访问。
- 在管理员控制台中使用数据外泄设置。
- 使用 Bucket 版本控制。
- 加密存储并限制访问。
- 为托管服务添加客户管理的密钥。
- 为工作区存储添加客户管理的密钥。
详细信息位于本文开头附近引用的 PDF 中。
3. 保护网络,识别和保护终结点
- 使用客户管理的 VPC 或 VNet 进行部署。
- 使用 IP 访问列表。
- 实施网络外泄保护。
- 应用 VPC 服务控件。
- 使用 VPC 终结点策略。
- 配置 PrivateLink。
详细信息位于本文开头附近引用的 PDF 中。
4. 查看共担责任模型
- 查看共担责任模型。
详细信息位于本文开头附近引用的 PDF 中。
5. 满足合规性和数据隐私要求
- 查看 Databricks 合规性标准。
详细信息位于本文开头附近引用的 PDF 中。
6. 监视系统安全性
- 使用 Databricks 审核日志传送。
- 配置标记以监视使用情况并允许退款。
- 使用 Overwatch 监视工作区。
- 监视预配活动。
- 使用增强型安全监视或合规性安全配置文件。
详细信息位于本文开头附近引用的 PDF 中。
泛型控件
- 服务配额。
- 控制库。
- 将敏感工作负荷隔离到不同的工作区中。
- 使用 CI/CD 进程来扫描代码以查找硬编码的机密。
详细信息位于本文开头附近引用的 PDF 中。