安全与信任中心

我们的公众bug赏金该项目由HackerOne推动，允许全球网络安全研究人员和渗透测试人员对Databricks的安全漏洞进行测试。为了使项目取得成功，我们做出的一些关键决定包括:

• 通过提供HackerOne项目统计数据的透明度，例如回复率和支付金额，鼓励黑客社区积极参与我们的项目
• 及时响应bug赏金提交，平均赏金时间在一周以内
• 对每个有效提交执行变体分析，以确定漏洞可能使用的替代方式，并验证100%的修复
• 增加奖励，将注意力吸引到产品最重要的领域

我们努力使我们的项目成功，并从每次提交中学习。我们的漏洞赏金计划以开放和合作的方式进行，已经有超过100名安全研究人员因超过200份报告而受到感谢。感谢大家帮助我们保持数据库的安全!

我们希望我们的客户对他们在Databricks上运行的工作负载有信心。如果您的团队希望对Databricks运行漏洞扫描或渗透测试，我们鼓励您:

1. 在位于云服务提供商帐户内的数据平面系统上运行漏洞扫描。
2. 针对您的代码运行测试，前提是这些测试完全包含在位于您的云服务提供商帐户中的数据平面(或其他系统)中，并且正在评估您的控件。
3. 加入Databricks Bug Bounty程序访问Databricks的专用部署以执行渗透测试。任何针对我们的多租户控制平面的渗透测试都需要参与该计划。

我们需要多因素身份验证来访问核心基础设施控制台，如云服务提供商控制台(AWS、GCP和Azure)。Databricks有策略和过程，尽可能避免使用显式凭据，如密码或API密钥。例如，只有指定的安全团队成员才能处理新的AWS IAM主体或策略的异常请求。

Databricks员工可以在非常特定的情况下(例如紧急故障修复)访问生产系统。访问由databicks构建的系统进行管理，该系统验证访问并执行策略检查。访问要求员工连接到我们的VPN，并使用我们的单点登录解决方案与多因素身份验证进行身份验证。
BOB低频彩了解更多→

我们的内部安全标准要求在任何可能的情况下将职责分开。例如，我们将云身份验证提供者的身份验证和授权过程集中起来，以分离授权访问(Mary应该访问系统)和授予访问(Mary现在可以访问系统)。

无论是在内部系统中还是在对生产系统的访问中，我们都优先考虑最少的特权访问。最低特权明确地建立在我们的内部政策中，并反映在我们的程序中。例如，大多数客户可以控制Databricks员工是否有权访问他们的工作空间，在授予访问权限之前，我们通过编程应用大量检查，并在有限的时间后自动撤销访问权限。
BOB低频彩了解更多→

Databricks利用思想门户它可以跟踪功能需求，并允许客户和员工投票。我们的功能设计过程包括设计隐私和安全。在初步评估之后，高影响功能将接受产品安全团队与工程安全负责人联合进行的安全设计审查，以及威胁建模和其他特定于安全的检查。

我们使用敏捷开发方法，将新功能分解为多个sprint。Databricks不会将Databricks平台的开发外包出去，所有开发人员在受雇时和以后每年都必须接受安全的软件开发培训——bob体育客户端下载包括OWASP Top 10。生产数据和环境与开发、QA和登台环境分离。所有代码都被检入一个源代码控制系统，该系统需要单点登录、多因素身份验证和细粒度权限。代码合并需要得到每个受影响区域的功能工程所有者的批准，并且所有代码都要经过同行评审。产品安全团队手动检查对安全性敏感的代码，以消除业务逻辑错误。

我们使用最佳工具来识别易受攻击的包或代码。预生产环境中的自动化运行操作系统和已安装包的经过身份验证的主机和容器漏洞扫描，以及动态和静态代码分析扫描。针对任何漏洞自动创建工程票据，并分配给相关团队。产品安全团队还对关键漏洞进行分类，以评估其在Databricks体系结构中的严重程度。

我们在SDLC过程的多个阶段运行质量检查(如单元测试和端到端测试)，包括代码合并时、代码合并后、发布时和生产中。我们的测试包括阳性测试、回归测试和阴性测试。部署后，我们可以进行广泛的监视以识别故障，用户可以通过状态页．如果出现任何P0或P1问题，Databricks自动化会触发一个“5个为什么”的根本原因分析方法，选择一个事后分析团队的成员来监督审查。调查结果传达给行政领导，并跟踪后续项目。

Databricks有一个正式的发布管理过程，其中包括在发布代码之前正式的放行/不放行决定。更改将通过旨在避免回归的测试，并验证新功能已经在实际工作负载上测试过。此外，有一个阶段性的推出，通过监视来尽早发现问题。为了实现职责分离，只有我们的部署管理系统可以向生产发布变更，并且所有部署都需要多人批准。

我们遵循一个不变的基础设施模型，其中系统被替换而不是打补丁，以提高可靠性和安全性，并避免配置漂移的风险。当启动新的系统映像或应用程序代码时，我们将工作负载转移到随新代码一起启动的新实例。对于控制平面和数据平面都是如此(请参阅有关Databricks体系结构的更多信息，请参见安全特性部分)．一旦代码投入生产，验证过程就会确认工件没有未经授权添加、删除或更改。

SDLC流程的最后一个阶段是创建面向客户的文档。Databricks文档的管理方式很像我们的源代码，文档存储在同一个源代码控制系统中。重要的更改在合并和发布之前需要技术和文档团队的评审。
参观文件→

Databricks Lakehouse架构分为两个单独的平面，以简化您的权限，避免数据重复和降低风险。控制平面是Databricks运行工作空间应用程序、管理笔记本、配置和集群的管理平面。除非你选择使用serverless计算，数据平面在您的云服务提供商帐户内运行，处理您的数据而无需将其从您的帐户中取出。您可以将Databricks嵌入到您的数据泄露保护架构中，使用诸如客户管理的vpc /VNets和管理控制台选项来禁用导出。

虽然某些数据(例如您的笔记本电脑、配置、日志和用户信息)存在于控制平面中，但这些信息在静止时在控制平面中是加密的，并且进出控制平面的通信在传输过程中是加密的。您还可以选择某些数据的存储位置:您可以托管关于数据表的元数据存储(Hive metastore)，将查询结果存储在您的云服务提供商帐户中，并决定是否使用Databricks Secrets API．

假设您有一个数据工程师登录到Databricks并编写了一个笔记本，将Kafka中的原始数据转换为规范化的数据集，并发送到Amazon S3或Azure data Lake storage等存储设备。实现这一目标有六个步骤:

1. 数据工程师通过您的单点登录(如果需要的话)无缝地对Databricks帐户托管的控制平面中的Databricks web UI进行身份验证。
2. 当数据工程师编写代码时，他们的web浏览器将其发送到控制平面。JDBC/ODBC请求也遵循相同的路径，使用令牌进行身份验证。
3. 当准备就绪时，控制平面使用Cloud Service Provider api在CSP帐户中创建Databricks集群，该集群由数据平面中的新实例组成。管理员可以应用集群策略来实施安全配置文件。
4. 实例启动后，集群管理器将数据工程师的代码发送到集群。
5. 集群从你账户中的Kafka中提取数据，转换你账户中的数据，并将其写入你账户中的存储。
6. 集群向集群管理器报告状态和任何输出。

数据工程师不需要担心很多细节——他们只需要编写代码，Databricks就可以运行它。