Perfil de seguridad de cumplimiento
En este artículo se describe el perfil de seguridad de cumplimiento y sus controles de cumplimiento.
Uso del perfil de seguridad de cumplimiento
El perfil de seguridad de cumplimiento habilita una supervisión adicional, una imagen de proceso protegida y otras características y controles en las áreas de trabajo de Azure Databricks. El perfil de seguridad de cumplimiento incluye controles que ayudan a cumplir los requisitos de seguridad aplicables de algunos estándares de cumplimiento. Se requiere habilitar el perfil de seguridad de cumplimiento para usar Azure Databricks para procesar los datos regulados en los siguientes estándares de cumplimiento:
Databricks recomienda encarecidamente habilitar el perfil de seguridad de cumplimiento para procesar datos en HIPAA, pero no es necesario.
También puede optar por habilitar el perfil de seguridad de cumplimiento para sus características de seguridad mejoradas sin necesidad de cumplir un estándar de cumplimiento.
Importante
- Usted es el único responsable de garantizar su propio cumplimiento con todas las leyes y reglamentos aplicables.
- Para PCI-DSS, usted es el único responsable de garantizar que el perfil de seguridad de cumplimiento y los estándares de cumplimiento adecuados estén configurados antes de procesar los datos regulados. Para procesar datos PHI, Databricks recomienda encarecidamente el uso del perfil de seguridad de cumplimiento y la selección del estándar de cumplimiento de HIPAA.
Si habilita esta característica en cualquier área de trabajo, se le cobrará por el complemento Seguridad y cumplimiento mejorado, tal y como se describe en la página de precios.
¿Qué recursos de proceso obtienen una seguridad mejorada?
Las mejoras del perfil de seguridad de cumplimiento se aplican a los recursos de proceso del plano de proceso clásico en todas las regiones.
Las mejoras del perfil de seguridad de cumplimiento para HIPAA también se aplican a los recursos de proceso en el plano de proceso sin servidor en todas las regiones.
Azure Databricks no permite iniciar recursos de proceso sin servidor cuando PCI-DSS está habilitado.
Nota:
La mayoría de los tipos de instancia de Azure se admiten, pero no se admiten máquinas virtuales basadas en Arm64 y generación 2 (Gen2). Azure Databricks no permite iniciar el proceso con esos tipos de instancia cuando el perfil de seguridad de cumplimiento está habilitado.
Para obtener más información sobre la arquitectura de plan de proceso, consulte Introducción a la arquitectura de Azure Databricks.
Características y controles técnicos del perfil de seguridad de cumplimiento
Entre las mejoras de seguridad se incluyen las siguientes:
Imagen mejorada del sistema operativo protegido basada en Ubuntu Advantage.
Ubuntu Advantage es un paquete de seguridad empresarial y soporte técnico para infraestructura y aplicaciones de código abierto que incluye una imagen protegida de nivel 1 de CIS.
La actualización automática del clúster está habilitada automáticamente.
Los clústeres se reinician para obtener las actualizaciones más recientes periódicamente durante una ventana de mantenimiento que puede configurar. Consulte Actualización automática del clúster.
Se habilita automáticamente la supervisión de protección mejorada.
Agentes de supervisión de seguridad que generan registros que puede revisar. Para más información sobre los agentes de supervisión, consulte Supervisión de agentes en imágenes de planos del proceso de Azure Databricks.
Las comunicaciones dentro del clúster y para la salida usan el cifrado TLS 1.2 o superior, incluida la conexión al metastore.
Requisitos
- El área de trabajo de Azure Databricks debe estar en el plan de tarifa Premium.
Paso 1: Preparación de un área de trabajo para el perfil de seguridad de cumplimiento
Siga estos pasos al crear una nueva área de trabajo con el perfil de seguridad habilitado o habilite uno en un área de trabajo existente.
- Si el área de trabajo está configurada para restringir el acceso de red saliente, debe configurar la red para permitir el tráfico al puerto 2443. Consulte Implementación de Azure Databricks en una red virtual de Azure (inserción en red virtual).
- Ejecute las siguientes pruebas para comprobar que los cambios se hayan aplicado correctamente:
- Inicie un clúster de Databricks con un controlador, un trabajo, cualquier versión de DBR y cualquier tipo de instancia admitido.
- Confirme que el clúster entre en el estado En ejecución.
Paso 2: Habilitación del perfil de seguridad de cumplimiento en un área de trabajo
Nota:
Asistente de Databricks está deshabilitado de forma predeterminada en las áreas de trabajo que hayan habilitado el perfil de seguridad de cumplimiento. Los administradores del área de trabajo pueden habilitarlo siguiendo las instrucciones Para una cuenta: Deshabilite o habilite las características de Databricks Assistant.
Habilite el perfil de seguridad de cumplimiento.
Para usar Azure Portal para habilitar el perfil de seguridad de cumplimiento en un área de trabajo, consulte Uso de Azure Portal para habilitar la configuración en una nueva área de trabajo. También puede usar una plantilla de ARM para habilitar el perfil de seguridad de cumplimiento. Consulte Uso de una plantilla de ARM.
Las actualizaciones pueden tardar hasta seis horas en propagarse a todos los entornos. Las cargas de trabajo que se ejecutan activamente continúan con la configuración que estaba activa en el momento de iniciar el recurso de proceso y la nueva configuración comenzará a aplicar la próxima vez que se inicien estas cargas de trabajo.
Reinicie todo el proceso en ejecución.
Paso 3: Confirmar que el perfil de seguridad de cumplimiento esté habilitado para un área de trabajo
Para confirmar que un área de trabajo usa el perfil de seguridad de cumplimiento, compruebe que el logotipo de escudo amarillo se muestra en la interfaz de usuario.
Aparece un logotipo de escudo en la parte superior derecha de la página, a la izquierda del nombre del área de trabajo:
Haga clic en el nombre del área de trabajo para ver una lista de las áreas de trabajo a las que tiene acceso. Las áreas de trabajo que habilitan el perfil de seguridad de cumplimiento tienen un icono de escudo seguido del texto "Perfil de seguridad de cumplimiento".
También puede confirmar que un área de trabajo use el perfil de seguridad de cumplimiento en la pestaña Seguridad y cumplimiento de la página del área de trabajo de la consola de la cuenta.
Si faltan los iconos de escudo para un área de trabajo con el perfil de seguridad de cumplimiento habilitado, póngase en contacto con el equipo de la cuenta de Azure Databricks.