Ir para o conteúdo principal

Apresentando segurança de identidade de próximo nível na Databricks

Logins? Resolvido. Tokens Perfeito. Explore novas funcionalidades que facilitam a segurança dos usuários, o gerenciamento de credenciais e a adoção de melhores práticas sem senha em grande escala

Databricks Identity Security 10pm Password end-of-life 12 Multi-factor authentication 2pm Single account SSO 4pm Access token report 6pm Automatic identity management 8pm Token federation

Published: May 21, 2025

Produto8 min de leitura

por Siddharth Bhai, Keegan Dubbs, Kelly Albano, Sahil Handa e Bryan McQuade

Compartilhe este post

Acompanhe-nos

Summary

• A Databricks introduziu novos recursos de identidade e gerenciamento de acesso, focando em autenticação aprimorada e provisionamento automatizado.
• O MFA gerenciado pela Databricks está acessível para contas AWS sem SSO, permitindo autenticação multifatorial fácil para todos os usuários.
• Novas ferramentas de administração facilitam o monitoramento e o gerenciamento de tokens de acesso pessoal, enquanto a federação de tokens OAuth aumenta a segurança ao remover credenciais estáticas.

O futuro da segurança de identidade é sem senha, consciente do contexto e sem atritos - e estamos continuando a construir em direção a esse futuro na Databricks. Introduzimos novas capacidades em toda a Plataforma de Inteligência de Dados Databricks para ajudar os clientes a fortalecer a autenticação, automatizar o provisionamento de identidade e habilitar o acesso programático seguro, tornando mais fácil implementar controles modernos e escaláveis de identidade e acesso.

Como lembrete, as senhas gerenciadas pelo Databricks chegaram ao fim da vida útil em 10 de julho de 2024 e não são mais suportadas na interface do usuário ou via autenticação API. Para apoiar ainda mais um futuro sem senhas, também estamos anunciando a Disponibilidade Geral de Autenticação Multi-Fator gerenciada pelo Databricks (MFA).

À medida que mais clientes confiam no Databricks para democratizar o acesso a dados e IA, garantir o acesso programático é mais importante do que nunca. Para reduzir o risco a longo prazo do token da API, introduzimos vários novos controles:

  • Revogação automática de Tokens de Acesso Pessoal (PATs) que estão inativos por 90 dias
  • Uma vida útil máxima de 2 anos para PATs recém-criados, então as credenciais não persistem indefinidamente por padrão
  • Disponibilidade Geral do Relatório de Tokens de Acesso, proporcionando aos administradores uma visão mais profunda do uso e risco dos tokens

Essas atualizações estão alinhadas com a direção dos padrões da indústria em evolução, incluindo NIST, PCI DSS e ISO, que estão se afastando da complexidade das senhas em direção a estruturas de identidade mais inteligentes e adaptativas.

Aqui está um mergulho mais profundo no que há de novo e como aproveitá-lo ao máximo.

Simplifique o gerenciamento do seu SSO com login unificado na AWS

Estamos movendo todos os clientes para o login unificado, onde o SSO não precisa ser configurado em espaços de trabalho individuais. O login unificado traz instantaneamente o single sign-on (SSO) para todos os espaços de trabalho do Databricks em sua conta.

O login unificado permite que você gerencie uma configuração de SSO em nível de conta. Isso significa menos sobrecarga para os administradores, políticas de acesso consistentes para os usuários e uma postura de segurança geral mais forte. Combinado com acesso de emergência ao SSO usando MFA, o login unificado também fornece uma alternativa segura para os administradores, garantindo controle centralizado sem sacrificar a flexibilidade. 

O login unificado já é usado em milhares de espaços de trabalho em produção, e os clientes devem planejar sua migração para ele agora. A partir de dezembro de 2024, todas as novas configurações de SSO em nível de conta são automaticamente optadas pelo login unificado por padrão. Isso simplifica a implementação e facilita para os novos usuários começarem a usar recursos como compartilhamento de painéis de AI/BI, Espaços Genie e Apps sem nenhuma configuração extra necessária. Recomendamos que você mova todos os espaços de trabalho para o Login Unificado o mais rápido possível. 

Gif de Login Unificado

Melhores práticas para habilitar o login unificado

Para usar uma única configuração de SSO em nível de conta para sua conta, certifique-se de que a configuração do seu provedor de identidade (IdP) permita que todos os usuários do seu espaço de trabalho se autentiquem na conta do Databricks. Quando concluído, você pode optar com confiança por qualquer espaço de trabalho antigo para reutilizar o SSO em nível de conta com login unificado. Finalmente, remova os blocos IdP específicos do espaço de trabalho desatualizados para evitar confusão.

Seja seguro por padrão com a autenticação multi-fator gerenciada pelo Databricks (MFA)

SSO continua sendo a melhor prática para gerenciamento centralizado de identidade. Habilitar MFA no Provedor de Identidade (IdP) está alinhado com as políticas de segurança da sua empresa e garante uma abordagem consistente e em conformidade com as políticas em toda a sua base de usuários. 

Estamos animados para apresentar MFA gerenciado pelo Databricks, agora Disponível Geralmente para todas as contas AWS que ainda não configuraram o single sign-on (SSO). Este novo recurso permite que os administradores apliquem a autenticação multi-fator (MFA) para todos os usuários, melhorando a segurança em toda a sua organização. Com suporte para populares aplicativos autenticadores e chaves de passagem, a configuração do MFA é rápida e fácil. Os administradores podem ativá-lo através do Console de Conta.

Interface de usuário gerenciada pela MFA da Databricks

Provisione rapidamente novos usuários no Azure Databricks com Gerenciamento de Identidade Automático 

Gerenciamento Automático de Identidade, agora em Visualização Pública para Microsoft Entra ID, permite um gerenciamento de acesso seguro e em tempo real, integrando-se nativamente com usuários, grupos e principais de serviço no Entra ID, sem a necessidade de aplicativos de conector ou sincronização manual. Melhor de tudo, também respeita grupos aninhados e grupos que contêm principais de serviço, garantindo um controle de acesso consistente em hierarquias de identidade complexas. 

Um dos nossos principais casos de uso é simplificar o compartilhamento de Painéis de AI/BI ou Apps Databricks, onde os profissionais podem compartilhar com qualquer usuário na organização, independentemente de estarem em um espaço de trabalho. Isso permite que os proprietários de painéis compartilhem painéis de AI/BI ou apps com qualquer identidade Entra ID - mesmo aquelas que ainda não estão no Databricks - para uma colaboração segura e contínua. Novos usuários são provisionados automaticamente apenas quando o conteúdo compartilhado é acessado, e eles herdam apenas as permissões específicas concedidas, garantindo que vejam e usem apenas o que têm direito. Isso economiza tempo para os administradores e facilita para as organizações estenderem insights de dados em suas equipes. Veja nosso blog de lançamento para os detalhes.

Gerenciamento automático de identidade 

Monitore e gerencie tokens de acesso pessoal com novas ferramentas de administração

Assuma o controle dos tokens de acesso pessoal (PATs) com novas ferramentas de monitoramento de tokens, agora em Visualização Pública em AWS, Azure, e GCP. Embora recomendemos o uso de tokens de acesso OAuth em vez de PATs para melhorar a segurança, essas ferramentas de monitoramento ajudam a reduzir o risco e melhorar a higiene de acesso, dando aos administradores total visibilidade dos PATs ativos, impondo limites de tempo de vida (TTL) e permitindo a rápida revogação de tokens comprometidos ou não utilizados.

Os administradores agora podem acessar essas informações por meio de uma nova aba de Relatório de Tokens no Console de Administração do Databricks. A partir daí, os administradores de contas podem encontrar tokens ativos pertencentes a usuários ou espaços de trabalho específicos. Você pode usá-lo para encontrar tokens mais antigos que foram configurados para nunca expirar ou aqueles que ainda estão ativos, mas não foram usados ativamente em um mês. Recomendamos especialmente a procura por tokens de acesso pessoal pertencentes aos administradores do espaço de trabalho e revogá-los se não forem necessários. 

nova aba de relatório de token UI

Acesso programático seguro com a Federação de Tokens OAuth

Para ajudar os clientes a garantir o acesso baseado em API, estamos animados em anunciar o suporte adicional para a federação de tokens OAuth, que em breve estará disponível em AWS, Azure, e GCP. A federação de tokens permite que as aplicações se autentiquem na Databricks usando tokens do seu IdP confiável, eliminando a necessidade de armazenar segredos da Databricks como tokens estáticos ou senhas.

Você pode configurar a federação de tokens em dois níveis: 

  1. Em toda a conta: Habilita a federação de tokens para todos os usuários e principais de serviço em sua conta. Para organizações conscientes da segurança que desejam impor controles consistentes em todas as cargas de trabalho
  2. Nível de principal de serviço individual (também conhecido como federação de identidade de carga de trabalho): Para implementar controle refinado sobre aplicações específicas

A Federação de Tokens OAuth é especialmente poderosa para clientes que gerenciam um grande número de principais serviços. Por exemplo, se você estiver usando mais de 100 princípios de serviço para o GitHub Actions, você pode migrá-los para a federação de tokens e eliminar a necessidade de armazenar e rotacionar mais de 100 segredos gerenciados pelo Databricks de longa duração.

Os administradores de contas podem configurar uma política de federação em nível de conta usando o CLI do Databricks versão 0.239.0 e acima, ou o Databricks em toda a conta e principal de serviço APIs de federação de tokens REST.

Como fortalecemos a autenticação no Databricks

Além das novas capacidades do produto, também lideramos pelo exemplo em nosso ambiente corporativo. No Databricks, além do nosso login único centralizado, implementamos:

  • Autenticação multi-fator baseada em hardware via dispositivos FIDO2
  • Autenticação consciente do contexto que incorpora confiança do dispositivo, geolocalização e padrões comportamentais
  • Resposta automatizada à detecção de senha violada de nossas fontes de inteligência de ameaças
  • Mudança de alterações de senha forçadas trimestrais para anuais para incentivar melhores senhas
  • Autorização de conjunto de dados de privilégio mínimo para que um usuário que precisa de acesso a uma tabela não padrão possa ser autorizado apenas para essa tabela, em vez de um papel inteiro.

No agregado, isso proporciona aos nossos funcionários um acesso direto aos recursos, mantendo uma postura de segurança forte.

Sua jornada de modernização de segurança de identidade no Databricks começa aqui

Se você está apenas começando com MFA ou pronto para adotar a automação completa, a Databricks tem as ferramentas e integrações para apoiá-lo em cada passo do caminho.

Para reduzir seu risco de segurança e aproveitar ao máximo essas capacidades, recomendamos as seguintes melhores práticas:

  • Ative o SSO no nível da conta
  • Exija MFA para todos os usuários
  • Use a federação OAuth para acesso à API
  • Monitore os logs de autenticação para atividades incomuns

Se você está pronto para mergulhar rapidamente, nossos guias de melhores práticas de identidade em AWS, Azure e GCP são um bom ponto de partida. 

Junte-se à equipe de produto e engenharia de Gerenciamento de Identidade e Acesso no Data + AI Summit, de 9 a 12 de junho no Moscone Center em San Francisco! Dê uma primeira olhada nas últimas inovações em governança de dados e IA e confira nossas sessões de gerenciamento de identidade e acesso: 


 Registre-se agora para garantir sua vaga!

 

(This blog post has been translated using AI-powered tools) Original Post

Nunca perca uma postagem da Databricks

Inscreva-se nas categorias de seu interesse e receba as últimas postagens na sua caixa de entrada

O que vem a seguir?

Introducing AI/BI: Intelligent Analytics for Real-World Data

Produto

June 11, 2024/11 min de leitura

Apresentando o AI/BI: analítica inteligente para dados do mundo real

DeepSeek R1 on Databricks

Anúncios

January 31, 2025/3 min de leitura

DeepSeek R1 no Databricks