安全最佳實踐對磚AWS
2021年5月24日 在Beplay体育安卓版本平台的博客
是世界上第一個的Databrick LakehoBeplay体育安卓版本use平台lakehouse架構——一個開放的、統一的平台,讓你的所有分Beplay体育安卓版本析工作負載。lakehouse允許真正的跨職能協作團隊的數據工程師,數據科學家,毫升工程師、分析師和更多。
在本文中,我們將分享的雲安全特性和功能列表一個企業數據團隊可以使用AWS上硬磚環境按其風險狀況和治理政策。為更多的信息關於磚運行在Amazon Web Services (AWS),查看AWS的web頁麵和在AWS頁麵磚安全更多具體細節的安全性和遵從性。
磚安全特性
Customer-managed VPC
讓你的雲基礎設施和安全團隊定製和控製AWS網絡磚用於簡化部署和集中治理。
安全集群連接為私人集群
磚集群部署在您的私人子網。集群與安全連接,vpc不需要入站端口開放,和集群基礎設施不需要公共ip交互控製飛機。
私人數據磚與AWS PrivateLink工作區
您可以創建私人磚工作區AWS,由AWS PrivateLink。使用此功能,您可以確保所有用戶流量和集群的前端和後端接口工作仍在AWS網絡骨幹。您可以創建私有化或混合工作區根據您的風險。如果你為你配置自定義DNS VPC,閱讀定製的DNS與AWS Privatelink磚工作區。
數據漏出保護磚在AWS上
給你的安全團隊全部的可見性和控製出口路由流量通過進行防火牆AWS所提供的服務。因為這是一個可插拔的體係結構,使用任何下一代透明防火牆。隨著PrivateLink你可以實現它。
限製訪問S3 bucket
使用S3 Bucket的政策限製訪問可信ip和vpc。確保你滿足桶的政策要求,然後從其他來源有條件地允許或拒絕訪問。
從磚安全地訪問AWS數據源
利用AWS PrivateLink或網關VPC端點確保私人磚集群之間的連通性和AWS進行數據源。使用VPC端點的政策嚴格執行,S3 bucket可以從你的訪問Customer-managed VPC,確保你也允許隻讀訪問S3 bucket所需要的磚。
Customer-managed密鑰管理服務
加密你的筆記本電腦,秘密,查詢和查詢曆史存儲在數據磚控製平麵與你自身管理鑰匙從AWS密鑰管理服務(公裏)。磚保持訪問密鑰層次結構類似信封加密技術所使用的雲服務提供商,因此加密數據與數據加密密鑰(卡片),凱瑪特為)的包裝自己的關鍵。
Customer-managed鍵工作區存儲
加密數據工作區根S3 bucket,可選地,您的集群EBS卷中創建你的AWS帳戶使用自己的管理密鑰從AWS密鑰管理服務(公裏)。您可以使用相同或不同的cmk管理服務和工作區存儲和跨多個工作區。
限製企業IPs IP訪問列表
如果你不使用私有化工作區,您隻能限製磚工作空間的訪問可信IP地址(例如,本地的公共IP出口網關)。使用IP訪問列表,配置允許和阻止列表,確保用戶隻能訪問自己的數據磚從熟悉和信任的IPs工作區。
實現細粒度的數據安全性和屏蔽的動態視圖
大多數原生雲安全控製是基於身份和訪問管理在文件級別,但是如果你想為不同用戶提供不同表示潛在的數據集,或麵具和編輯特定列?在磚上,數據所有者可以構建動態視圖和管理使用基於sql訪問表數據對象的權限。這些權限嚴格執行訪問控製表集群和SQL分析端點。
使用集群政策執行數據訪問模式與管理成本
執行特定的數據訪問模式憑據透傳或訪問控製表需要磚管理員能夠嚴格執行類型的用戶可以創建的集群。集群政策允許磚管理員創建模板通過集群的配置,然後執行這些政策的使用。這有助於從成本的角度來看——基於項目的標簽可以強製退款集群資源的目的,或者用戶可以要求昂貴的資源,比如GPU集群在一個例外而不是自助的基礎上。
自動從你的身份提供&同步用戶和組使用SCIM提供者
堆砌來管理用戶和組的訪問您的數據和分析工具是一種反模式,引入了複雜性和風險。磚,配置用戶和組同步自動從你的身份提供者使用跨域身份管理係統(SCIM)。
管理個人使用令牌管理API訪問令牌
個人訪問令牌(PAT)允許用戶訪問非ui界麵的磚工作區,無論是通過CLI API或第三方工具。然而,帕特令牌容易濫用如果不是集中控製和審計。令牌管理API允許管理員創建、列表、撤銷甚至管理與帕特令牌相關的壽命,提供一個中央控製點,以減少風險和提高治理水平。
信任,但要核查磚
磚管理員可以配置交付低延遲審計日誌活動由磚用戶。這些日誌可以與AWS-specific日誌S3服務器訪問日誌提供一個360是誰做的,當。