磚使用精靈訪問客戶工作區
一般來說,磚人員不能訪問用戶工作區。磚的工作空間是一個環境來訪問你所有的磚的資產。工作區組織對象(筆記本、圖書館和實驗)文件夾,並提供訪問數據和計算資源,如集群和工作。為了解決某些類型的技術問題,可能需要授權人員進入客戶工作區和底層基礎設施。
授予安全訪問,磚使用一個名為精靈的內部應用程序。有一個精靈為每個雲實例,如AWS, Azure,穀歌雲。精靈獲得AWS和穀歌雲需要多因素身份驗證,需要用戶在網絡或磚磚VPN。精靈Azure需要多因素身份驗證,需要用戶在磚網絡,磚VPN或微軟內部的支持網絡。磚限製用戶可以訪問的集合的精靈和哪種類型的訪問可能授予每個用戶。請參閱以下部分的訪問類型。
本文檔描述了通用安全流程目前精靈。
不時地,磚更新精靈的安全控製,本文將隨時間而變化。請參閱修訂曆史底部。
幾乎沒有客戶數據是存儲在Databricks-owned帳戶。磚結構的詳細信息,請參閱磚體係結構概述。
訪問類型的精靈
有兩類訪問精靈:工作區訪問和基礎設施的訪問。
重要的
對於這兩種類型的訪問,也有一種機製來緊急訪問(如果票務交互失敗),不需要門票。這種訪問是很少使用,需要的批準數量非常小的磚。緊急訪問仍反映在客戶的審計日誌。
訪問web應用程序
磚客戶支持人員(或個人直接支持角色解決方案架構師等)可以使用精靈請求HTTPS訪問Web應用程序提供支持。
磚支持人員必須輸入磚Web應用程序的ID的客戶,並提供一個有效的銷售團隊支持票身份證號碼,必須與客戶的工作空間和保持在一個開放的狀態,訪問請求。支持人員需要獲得和記錄你的同意之前使用精靈來訪問您的工作區。如果磚客戶支持人員需要額外的故障排除,他們創建一個內部工程票磚工程團隊的支持。
磚工程團隊可以登錄精靈在web應用程序請求訪問您的工作區進行進一步的故障排除或緊急支持。上麵的磚工程團隊遵循相同的過程,除了他們進入web應用程序ID和一個內部工程支持票(不是客戶支持的票)。
精靈贈款web應用程序通過一個有時限的訪問令牌訪問。會話時間到期後,請求過程必須重複。
在這一點上,用戶將web瀏覽器訪問好像工作區管理。某些其他安全控製也應用(例如,精靈用戶不能創建長壽個人訪問令牌)。磚執行威脅建模確定場景的濫用和提供技術控製來降低風險。
此外,如果您已經配置了審計日誌,審計日誌顯示初始精靈事件和磚員工行動。行動在該係統將包括在審計日誌中,類似於可審計的事件從自己的用戶。在當前實現中,磚用戶jsmith@m.eheci.com
顯示為jsmith + dbadmin@m.eheci.com
在審計日誌。
訪問內部核心的生產基礎設施係統
隻在磚工程人員組織支持內部基礎設施可以登錄精靈和訪問數據磚核心生產基礎設施係統。如果磚外人員請求訪問這樣的係統基礎設施支持角色,額外的批準是必需的。通過一個有時限的TLS客戶機證書精靈授予訪問權限。會話時間到期後,請求過程必須重複。
控製平麵分為microservices和訪問是授予所需的服務。基礎設施的訪問不提供用戶界麵訪問任何客戶的磚部署,並根據服務有限製數據訪問隔離。beplay体育app下载地址客戶可以進一步降低風險暴露的數據利用能力等Customer-managed密鑰來加密某些數據(如筆記本電腦、秘密、磚SQL查詢和查詢曆史)在控製平麵,這增加了額外的技術壁壘基礎設施精靈訪問這些數據。
因為內部核心的生產基礎設施係統一般不針對任何一個客戶的部署,這精靈訪問並不在審計日誌中創建事件。
Web應用程序安全性控製的精靈
精靈訪問通過Web UI(工作空間層訪問)需要一個支持票或工程票係明確您的工作區。有技術控製要求機票必須開放和工作區存在於一個特定的領域。大多數精靈事件源於一個支持的票。你必須明確授權訪問,通過點擊複選框當提交機票或明確批準它在文本與支持工程師談話。
訪問僅限於精靈的一個子集的員工有一個角色在支持客戶。beplay体育app下载地址
精靈係統隻能在VPN(這需要多因素提示),和身份驗證配置成精靈也總是需要額外的多因素提示。
精靈訪問特定於給定的工作區。例如,如果客戶授權的使用中精靈支持一個特定的工作區,票的支持工程師不能使用為客戶訪問工作區B或訪問一個不同的工作空間為客戶。
每個使用精靈也是有限的。AWS和穀歌雲賬戶,最長時間是24小時,默認是60分鍾。
(如果已啟用審計日誌,這些日誌將顯示精靈事件。重要的是,最初的訪問您的工作區都借助於精靈,但活動之後受正常磚規則(如果支持人員是你的員工)。任何行動由磚員工一旦在工作區中生成審計日誌事件就像他們會為你的員工。
磚精靈日誌保留至少一年在內部,並樂於幫助客戶構建提醒管道精靈活動(如不同尋常的API調用的支持人員訪問工作區與精靈或新的支持人員使用精靈)磚有很強的技術控製自動終止賬戶(beplay体育app下载地址目前通過自動化執行,人力資源信息係統流程終止)。此外,磚執行季度報表的審查作為一個額外的檢查,防止賬戶不正確地終止。
內部核心基礎設施安全控製的精靈
精靈的訪問通過命令行工程師(體係結構級別的訪問)需要一個開放的工程票在後端工程票務係統(或緊急訪問,正如上麵詳細的,事件的票務係統故障)。
用戶必須工程集團的一部分,一個角色在支持客戶。beplay体育app下载地址
精靈係統隻可通過VPN(這需要多因素提示),和身份驗證配置成精靈也總是需要額外的多因素提示。
每個使用精靈也是有限的。AWS和穀歌雲環境的最長時間是24小時,缺省值是60分鍾。
磚內部精靈日誌保留至少一年。
而磚有很強的技術控製自動終止賬戶(目前通過自動化執行人力資源信息係統流程終止)時,磚還執行季度報表審查作為一個額外的檢查,防止賬戶不正確地終止。