Security and Trust Center

Siamo impegnati ad aiutare i clienti ad acquisire fiducia nei carichi di lavoro che eseguono su Databricks. Se il tuo team vuole effettuare un test di penetrazione su Databricks, ti invitiamo a:

• eseguire scansioni di vulnerabilità nei sistemi data plane che si trovano sull'account del tuo fornitore di servizi cloud;
• eseguire test sul tuo stesso codice, a condizione che tali test siano interamente contenuti nel data plane (o altri sistemi) sull'account del fornitore di servizi cloud e che valutino i controlli;
• partecipare al programma Bug Bounty.

Unisciti al programma Databricks Bug Bounty tramite il canale agevolato di HackerOne e ottieni accesso a un'installazione di Databricks che non viene utilizzata dai clienti.

È richiesta un'autenticazione a più fattori per accedere alle console principali dell'infrastruttura, ad esempio le console dei fornitori di servizi cloud (AWS, GCP e Azure). Databricks attua politiche e procedure per evitare l'uso di credenziali esplicite come password o chiavi API, laddove possibile. Ad esempio, solo addetti alla sicurezza incaricati possono elaborare richieste di eccezioni per nuovi ruoli di IAM Principal o politiche su AWS.

I dipendenti di Databricks possono accedere a un sistema di produzione solo in circostanze molto particolari. Qualsiasi accesso richiede l'autenticazione tramite un sistema realizzato da Databricks che convalida l'accesso ed esegue verifiche delle politiche di sicurezza. L'accesso richiede che i dipendenti siano sulla nostra VPN, mentre la nostra soluzione SSO (Single Sign-On) richiede l'autenticazione a più fattori. Maggiori informazioni →

I nostri standard di sicurezza interni prevedono la separazione dei compiti ovunque sia possibile. Ad esempio, centralizziamo il processo di autenticazione e autorizzazione del nostro fornitore di identità cloud per separare l'autorizzazione all'accesso (Mary dovrebbe accedere a un sistema) dalla concessione dell'accesso (Mary ora può accedere a un sistema).

Diamo priorità all'accesso con privilegio minimo, sia nei sistemi interni, sia per il nostro accesso a sistemi di produzione. Il privilegio minimo è integrato esplicitamente nelle nostre politiche interne e si rispecchia nelle nostre procedure. Ad esempio, la maggior parte dei clienti può controllare l'accesso dei dipendenti di Databricks al loro spazio di lavoro, mentre noi applichiamo automaticamente numerosi controlli prima di concedere l'accesso e revochiamo automaticamente l'accesso dopo un periodo di tempo limitato.
Maggiori informazioni →

Databricks sfrutta un Ideas Portal che tiene traccia delle richieste di feature e consente votazioni da parte di clienti e dipendenti. Il nostro processo di design delle feature integra riservatezza e sicurezza "by design". Dopo una valutazione iniziale, le feature ad alto impatto vengono sottoposte a Security Design Review da un esperto di sicurezza in progettazione, oltre a eseguire la modellazione delle minacce e altri controlli specifici per la sicurezza.

Utilizziamo una metodologia di sviluppo agile e suddividiamo le nuove feature in molteplici sprint. Databricks non affida ad altri lo sviluppo della piattaforma Databricks e tutti gli sviluppatori devono svolgere la formazione per lo sviluppo di software sicuro, dimostrando di conoscere la OWASP Top 10 al momento dell'assunzione e poi nelle verifiche annuali. Dati e ambienti di produzione sono separati dagli ambienti di sviluppo, QA e staging. Tutto il codice viene inserito in un sistema di controllo sorgente che richiede l'accesso unico (SSO) con autenticazione a più fattori, con permessi granulari. Le richieste di fusione (merge) del codice richiedono l'approvazione da parte dei titolari della progettazione funzionale di ogni area coinvolta, e tutto il codice viene sottoposto a revisione paritaria (peer review).

Eseguiamo controlli di qualità (ad esempio test unitari e test completi) in diverse fasi del processo SDLC: alla fusione del codice, dopo la fusione del codice, al rilascio e in produzione. La nostra attività comprende test positivi, test di regressione e test negativi. Una volta effettuati i test, provvediamo a un monitoraggio su larga scala per individuare difetti, e gli utenti possono ricevere avvisi sulla disponibilità del sistema tramite la Status Page. In caso di un problema P0 o P1, l'automazione di Databricks attiva una metodologia di analisi delle cause profonde detta dei "5 perché", scegliendo un membro del team post-mortem per supervisionare la revisione, dopodiché vengono tracciate le attività di follow-up.

Utilizziamo gli strumenti migliori della categoria per individuare pacchetti o codice vulnerabili. L'automazione in un ambiente di produzione esegue scansioni di vulnerabilità del sistema operativo su host e contenitore autenticati e pacchetti installati, oltre a scansioni di analisi del codice dinamico e statico. Vengono creati automaticamente ticket di progettazione per qualsiasi vulnerabilità, assegnandoli ai team di competenza. Il team di sicurezza del prodotto classifica inoltre le vulnerabilità critiche per valutarne la gravità nell'architettura Databricks.

Databricks applica un processo formale di gestione dei rilasci che prevede una decisione go/no-go prima che il codice venga rilasciato. Le modifiche vengono sottoposte a test progettati per evitare regressioni e validare che le nuove funzionalità siano state testate su carichi di lavoro realistici. Inoltre, viene effettuato un rollout per fasi con monitoraggio per individuare problemi nelle fasi iniziali. Per implementare la separazione dei compiti, solo il nostro sistema di gestione delle implementazioni può rilasciare modifiche in produzione; inoltre, per tutte le implementazioni è richiesta l'approvazione di più persone.

Seguiamo il modello dell'infrastruttura immutabile, nel quale i sistemi vengono sostituiti invece che "rappezzati", per aumentare l'affidabilità e la sicurezza evitando il rischio di deriva della configurazione. Quando lanciamo nuove immagini di sistema o nuovo codice applicativo, trasferiamo i carichi di lavoro a nuove istanze insieme al nuovo codice. Questo vale sia per il control plane sia per il data plane (vedi la sezione "Funzionalità di sicurezza" per maggiori dettagli sull'architettura Databricks). Una volta che il codice è in produzione, un processo di verifica conferma che non vengano aggiunti, rimossi o modificati artefatti.

L'ultima fase del processo SDLC è la creazione della documentazione per il cliente. I documenti di Databricks vengono gestiti in modo analogo al codice, conservando la documentazione nello stesso sistema di controllo sorgente. Modifiche significative richiedono una revisione tecnica e la revisione da parte dei team della documentazione, prima di essere integrate e pubblicate.
Visita la sezione della documentazione →

L'architettura di Databricks Lakehouse è divisa in due piani separati per semplificare i permessi, evitare duplicazioni di dati e ridurre i rischi. Il control plane è il piano di gestione, dove Databricks esegue l'applicazione dello spazio di lavoro e gestisce notebook, configurazione e cluster. Tranne nel caso in cui si scelga di usare l'elaborazione senza server, il data plane gira all'interno dell'account del fornitore di servizi cloud, elaborando i dati senza estrarli dall'account. Databricks può essere incorporato nell'architettura di protezione contro l'esfiltrazione dei dati utilizzando funzionalità come VPC/VNet gestite dal cliente e opzioni della console di amministrazione che disabilitano l'esportazione.

Alcuni dati, come notebook, configurazioni, registri e informazioni degli utenti, sono presenti all'interno del control plane, ma queste informazioni sono crittografate a riposo nel control plane, e la comunicazione da e verso il control plane viene crittografata in transito. Inoltre si può scegliere dove risiedono alcuni dati. Ogni azienda può ospitare il proprio archivio di metadati relativi alle tabelle di dati (Hive metastore), conservare i risultati delle query sull'account del fornitore di servizi cloud (CSP), e decidere se utilizzare l'interfaccia Databricks Secrets API.

Supponiamo che un data engineer acceda a Databricks e scriva un notebook che trasforma dati grezzi in Kafka in un set di dati normalizzato, inviato poi a uno storage come Amazon S3 o Azure Data Lake Storage. Sei passaggi per raggiungere questo obiettivo:

1. Il data engineer si autentica, tramite Single Sign-On se desiderato, sull'interfaccia utente web di Databricks nel control plane, ospitato sull'account Databricks.
2. Mentre il data engineer scrive il codice, il browser lo invia al control plane. Anche le richieste JDBC/ODBC seguono lo stesso percorso, con autenticazione tramite token.
3. Una volta pronto, il control plane usa le API del fornitore di servizi cloud per creare un cluster Databricks, costituito da nuove istanze sul data plane, nell'account CSP dell'azienda. Gli amministratori possono applicare politiche di cluster per attivare profili di sicurezza.
4. Una volta lanciate le istanze, il cluster manager invia il codice del data engineer al cluster.
5. Il cluster preleva i dati da Kafka sull'account CSP, trasforma i dati all'interno dell'account aziendale e li scrive in uno storage nell'account.
6. Il cluster riporta lo stato ed eventuali output al cluster manager.

Il data engineer non si deve preoccupare di molti dettagli: deve solo scrivere il codice e Databricks si occuperà di eseguirlo.