セキュリティ、コンプライアンス、プライバシーのベストプラクティス

セキュリティのベスト プラクティスについては、Databricks セキュリティとセキュリティ センターの [セキュリティ機能] を参照してください。

詳細については、PDF の「 Databricks GCP Security Best Practices and Threat Model」を参照してください。

生成AIの場合、 Databricks AIセキュリティを管理するための実用的なフレームワークであるDatabricks AIセキュリティ フレームワーク(DASF) を提供します。

次のセクションでは、この柱の原則に沿って PDF で見つけることができるベスト プラクティスを示します。

1. 最小限の特権を使用して ID とアクセスを管理する

  • シングルサインオンと統合ログインを設定します。

  • 多要素認証を使用します。

  • 管理者アカウントを通常のユーザー アカウントから分離します。

  • トークン管理を使用します。

  • ユーザーとグループのSCIM同期。

  • クラスターの作成権限を制限します。

  • シークレットを安全に保存して使用します。

  • クロスアカウント IAMロール 設定。

  • 顧客承認のワークスペース ログイン。

  • ユーザーの分離をサポートするクラスターを使用します。

  • サービスプリンシパルを使用して、実動ジョブを実行します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

2. 転送中および保存中のデータを保護する

  • 運用データを DBFS に格納することは避けてください。

  • クラウドストレージへの安全なアクセス。

  • 管理コンソール内のデータ流出設定を使用します。

  • バケットのバージョニングを使用します。

  • ストレージを暗号化し、アクセスを制限します。

  • マネージドサービスの顧客管理キーを追加します。

  • ワークスペース ストレージ用の Web マネージド キーを追加します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

3. ネットワークを保護し、エンドポイントを特定して保護する

  • 顧客管理の VPC または VNet を使用してデプロイします。

  • IP アクセス リストを使用します。

  • ネットワーク流出防止を実装します。

  • VPC サービスコントロールを適用します。

  • VPC エンドポイントポリシーを使用します。

  • プライベート リンクを構成します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

4. 責任共有モデルを確認する

  • 責任共有モデルを確認します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

5. コンプライアンスとデータプライバシーの要件を満たす

  • Databricks のコンプライアンス標準を確認します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

6.システムセキュリティを監視します

  • Databricks 監査ログ配信を使用します。

  • 使用状況を監視し、チャージバックを有効にするようにタグ付けを構成します。

  • オーバーウォッチを使用してワークスペースを監視します。

  • プロビジョニング アクティビティを監視します。

  • 拡張セキュリティ監視またはコンプライアンスセキュリティプロファイルを使用します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

汎用コントロール

  • サービス クォータ。

  • GCP 組織のポリシー。

  • ライブラリの制御。

  • 機密性の高いワークロードを異なるワークスペースに分離します。

  • CI/CD プロセスを使用して、ハードコーディングされたシークレットのコードをスキャンします。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。