Security & Trust Center

Wir möchten unseren Kunden helfen, Vertrauen in die Workloads zu gewinnen, die sie auf Databricks ausführen. Wenn Ihr Team einen Penetrationstest von Databricks durchführen möchte, möchten wir Sie zu folgenden Schritten ermuntern:

• Führen Sie Schwachstellenscans auf den Datenebenensystemen durch, die Ihnen von Ihrem Cloud-Anbieter bereitgestellt werden.
• Testen Sie Ihren eigenen Code. Voraussetzung hierfür ist, dass diese Tests vollständig auf die von Ihrem Cloud-Anbieter bereitgestellte Datenebene (oder andere Systeme) beschränkt sind und Sie damit Ihre eigenen Sicherheitskontrollen bewerten.
• Machen Sie beim Bug-Bounty-Programm mit.

Beteiligen Sie sich am von HackerOne unterstützten Bug-Bounty-Programm von Databricks und erhalten Sie Zugang zu einer Databricks-Installation, die nicht von Live-Kunden genutzt wird.

Für den Zugriff auf zentrale Infrastrukturkonsolen wie die Konsolen der Cloud-Anbieter (AWS, GCP und Azure) ist eine mehrstufige Authentifizierung erforderlich. Databricks verfügt über Richtlinien und Verfahren, um die Verwendung expliziter Zugangsdaten – wie Passwörter oder API-Schlüssel – nach Möglichkeit zu vermeiden. So können beispielsweise nur benannte Sicherheitsmitglieder Ausnahmeanträge für neue AWS IAM-Prinzipale oder -Richtlinien bearbeiten.

Databricks-Mitarbeiter können nur unter ganz bestimmten Umständen auf ein Produktionssystem zugreifen. Jeder Zugriff erfordert eine Authentifizierung über ein von Databricks entwickeltes System, das den Zugriff validiert und Richtlinienprüfungen durchführt. Der Zugriff des Mitarbeiters muss über unser VPN erfolgen, und unsere Single-Sign-On-Lösung erfordert eine mehrstufige Authentifizierung.
Erfahren Sie mehr →

Unsere internen Sicherheitsstandards sehen eine Trennung der Aufgaben vor, wo immer dies möglich ist. So zentralisieren wir beispielsweise den Authentifizierungs- und Autorisierungsprozess unseres Cloud-Identitätsanbieters, um die Autorisierung des Zugriffs (Sarah soll auf ein System zugreifen) von der Gewährung des Zugriffs (Sarah darf jetzt auf ein System zugreifen) zu trennen.

Wir achten darauf, dass der Zugriff auf interne wie auch auf Produktionssysteme mit möglichst stark eingeschränkten Rechten erfolgt. Dieses Prinzip minimaler Rechte ist ausdrücklich in unseren internen Richtlinien verankert und spiegelt sich in unseren Verfahren wider. So können beispielsweise die meisten Kunden den Zugriff von Databricks-Mitarbeitern auf ihren Workspace kontrollieren. Auch führen wir vor der Gewährung des Zugriffs automatisch zahlreiche Überprüfungen durch und sperren den Zugriff nach einer bestimmten Zeit automatisch.
Erfahren Sie mehr →

Databricks nutzt ein Ideenportal, das Feature-Anfragen verfolgt und Abstimmungen sowohl unter Kunden als auch unter Mitarbeitern erlaubt. Bei der Konzipierung von Features sind Datenschutz und Sicherheit standardmäßig berücksichtigt (Privacy and Security by Design). Nach einer ersten Bewertung werden Features mit erheblichen Auswirkungen von einem Sicherheitsexperten aus dem technischen Bereich einem Security Design Review unterzogen, bei dem auch Bedrohungsmodelle geprüft und weitere sicherheitsspezifische Prüfungen durchgeführt werden.

Wir verwenden eine agile Entwicklungsmethodik und unterteilen neue Funktionen in mehrere Sprints. Die Entwicklung der Databricks-Plattform erfolgt vollständig intern. Zudem müssen alle Entwickler bei der Einstellung sowie nachfolgend jedes Jahr eine Schulung zur sicheren Softwareentwicklung (einschließlich OWASP Top 10) absolvieren. Die Produktionsdaten und -umgebungen sind von den Entwicklungs-, QA- und Staging-Umgebungen getrennt. Der gesamte Code wird in ein Quellcode-Kontrollsystem eingecheckt, das Single Sign-On mit mehrstufigen Authentifizierung kombiniert und differenzierte Berechtigungen implementiert. Code-Merges erfordern die Zustimmung der funktionalen technischen Verantwortlichen des jeweiligen betroffenen Bereichs, und der gesamte Code wird einem Peer Review unterzogen.

Wir führen Qualitätsprüfungen (z. B. Unit- und End-to-End-Tests) in mehreren Phasen des SDLC-Prozesses durch, u. a. bei und nach Code-Merges sowie bei der Veröffentlichung und in der Produktion. Unsere Tests umfassen Positivtests, Regressionstests und Negativtests. Nach der Bereitstellung führen wir eine umfassende Überwachung zur Fehlererkennung durch. Nutzer können sich auf der Statusseite über die Systemverfügbarkeit informieren. Im Falle eines P0- oder P1-Problems löst die Databricks-Automatisierung eine Ursachenanalyse nach der 5-Why-Methode aus. Bei dieser wird ein Mitglied des Postmortem-Teams ausgewählt, das die Überprüfung überwacht. Alle nachfolgend ergriffenen Maßnahmen werden nachverfolgt.

Wir verwenden die branchenweit besten Tools, um gefährdete Pakete oder anfälligen Code zu erkennen. Die Automatisierung in einer Vorproduktionsumgebung führt authentifizierte Host- und Container-Schwachstellenscans des Betriebssystems und der installierten Pakete sowie dynamische und statische Codeanalysescans durch. Für alle gefundenen Sicherheitslücken werden automatisch technische Tickets erstellt und den entsprechenden Teams zugewiesen. Das Produktsicherheitsteam prüft auch kritische Schwachstellen, um ihren Schweregrad in der Databricks-Architektur zu bewerten.

Databricks verfügt über einen formellen Release-Management-Prozess, der vor der Codefreigabe eine formelle „Go/No-Go-Entscheidung“ vorsieht. Änderungen werden getestet, um Rückschritte zu vermeiden und dafür zu sorgen, dass neue Funktionen unter realistischen Arbeitsbedingungen getestet wurden. Darüber hinaus erfolgt die Einführung stufenweise und überwacht, um Probleme frühzeitig zu erkennen. Um die Aufgabentrennung umzusetzen, kann nur unser Bereitstellungsmanagementsystem Änderungen an die Produktion freigeben, und für alle Bereitstellungen sind Genehmigungen durch mehrere Personen erforderlich.

Wir folgen dem Modell der unveränderlichen Infrastruktur, bei dem Systeme ersetzt und nicht gepatcht werden, um durch Vermeidung von Konfigurationsmodifikationen für mehr Zuverlässigkeit und Sicherheit zu sorgen. Wenn neue System-Images oder neuer Anwendungscode implementiert werden, übertragen wir die Workloads auf neue Instanzen mit dem neuen Code. Dies gilt sowohl für die Steuerungs- als auch für die Datenebene (weitere Informationen zur Databricks-Architektur finden Sie im Abschnitt Sicherheitsmerkmale). Sobald der Code in die Produktion überführt ist, bestätigt ein Verifizierungsprozess, dass keine Artefakte hinzugefügt, entfernt oder verändert wurden.

Die letzte Phase des SDLC-Prozesses ist die Erstellung der Dokumentation für den Kunden. Bei Databricks wird die Dokumentation ähnlich wie der Code verwaltet und auch im selben Quellcode-Kontrollsystem gespeichert. Bedeutende Änderungen erfordern eine technische Überprüfung sowie einen Review durch das Dokumententeam – erst dann erfolgen Zusammenführung und Veröffentlichung.
Dokumentation besuchen →

Die Databricks Lakehouse-Architektur ist in zwei separate Ebenen aufgeteilt, um Berechtigungen zu vereinfachen, Datenduplizierung zu vermeiden und Risiken zu senken. Die Steuerungsebene ist die Verwaltungsebene, auf der Databricks die Workspace-Anwendung ausführt und Notebooks, Konfiguration und Cluster administriert. Sofern Sie sich nicht für Serverless Compute entscheiden, wird die Datenebene im Rahmen Ihres Cloud-Anbieter-Kontos ausgeführt und verarbeitet Ihre Daten, ohne sie aus Ihrem Konto zu entfernen. Sie können Databricks zum Schutz vor Datenausschleusung in Ihre Architektur einbetten. Hierzu nutzen Sie Funktionen wie kundenseitig verwaltete VPCs/VNets und Optionen für die Verwaltungskonsole, die den Export deaktivieren.

Bestimmte Daten, wie z. B. Ihre Notebooks, Konfigurationen, Protokolldateien und Nutzerinformationen, befinden sich zwar auf der Steuerungsebene, sind aber im Ruhezustand auf der Steuerungsebene verschlüsselt, und auch bei laufender Übertragung wird die Kommunikation von und zur Steuerungsebene verschlüsselt. Sie können außerdem konfigurieren, wo bestimmte Daten gespeichert werden: Sie können Ihren eigenen Metadatenspeicher für Ihre Datentabellen hosten (Hive-Metaspeicher), Abfrageergebnisse in Ihrem Cloud-Anbieter-Konto speichern und entscheiden, ob Sie die Databricks Secrets-API verwenden möchten.

Angenommen, ein Data Engineer meldet sich bei Databricks an und schreibt ein Notebook, das Rohdaten in Kafka in einen normalisierten Datensatz umwandelt, der an einen Speicher wie Amazon S3 oder Azure Data Lake Storage gesendet wird. Der gesamte Vorgang umfasst sechs Schritte:

1. Der Data Engineer authentifiziert sich nahtlos – auf Wunsch auch über Ihr Single Sign-On – bei der Databricks-Web-UI auf der im Databricks-Konto gehosteten Steuerungsebene.
2. Wenn der Data Engineer Code schreibt, sendet sein Webbrowser diesen an die Steuerungsebene. JDBC-/ODBC-Anfragen folgen demselben Weg und werden bei einem Token authentifiziert.
3. Zum erforderlichen Zeitpunkt die Steuerungsebene die APIs des Cloud-Anbieters, um einen Databricks-Cluster aus neuen Instanzen in der Datenebene in Ihrem Cloud-Anbieter-Konto zu erstellen. Administratoren können zum Erzwingen von Sicherheitsprofilen Cluster-Richtlinien anwenden.
4. Sobald die Instanzen gestartet sind, sendet der Cluster-Manager den Code des Data Engineers an den Cluster.
5. Der Cluster ruft die Daten aus Kafka in Ihrem Konto ab, wandelt sie in Ihrem Konto um und schreibt sie dann in einen Speicher in Ihrem Konto.
6. Der Cluster meldet den Status und alle Ergebnisse an den Cluster-Manager zurück.

Der Data Engineer muss sich nicht um allzu viele Details kümmern: Er schreibt einfach den Code und Databricks führt ihn aus.