Baseline di sicurezza di Azure per Azure Databricks
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 ad Azure Databricks. Il benchmark di sicurezza cloud Microsoft fornisce consigli su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato dai controlli di sicurezza definiti dal benchmark di sicurezza cloud Microsoft e dalle indicazioni correlate applicabili ad Azure Databricks.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender per Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina Microsoft Defender per il portale cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per misurare la conformità ai controlli e alle raccomandazioni del benchmark di sicurezza cloud Microsoft. Alcuni consigli possono richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili ad Azure Databricks sono state escluse. Per informazioni su come Azure Databricks esegue completamente il mapping al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di base di sicurezza di Azure Databricks.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure Databricks, che possono causare un aumento delle considerazioni sulla sicurezza.
| Attributo del comportamento del servizio | Valore |
|---|---|
| Product Category | Analisi, archiviazione |
| Il cliente può accedere a HOST/SISTEMA operativo | Nessun accesso |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia il contenuto del cliente inattivo | Vero |
Sicurezza di rete
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nell'Rete virtuale privata del cliente (rete virtuale). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: la distribuzione predefinita di Azure Databricks è un servizio completamente gestito in Azure: tutte le risorse del piano dati, inclusa una rete virtuale a cui verranno associati tutti i cluster, vengono distribuiti in un gruppo di risorse bloccato. Se è necessaria la personalizzazione della rete, è possibile tuttavia distribuire le risorse del piano dati di Azure Databricks nella propria rete virtuale (aggiunta della rete virtuale), in modo da poter implementare configurazioni di rete personalizzate. Al proprio gruppo di sicurezza di rete con regole personalizzate è possibile applicare restrizioni specifiche del traffico in uscita.
Informazioni di riferimento: Integrazione della rete virtuale di Databricks
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: usare gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base alla porta, al protocollo, all'indirizzo IP di origine o all'indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio impedire l'accesso alle porte di gestione da reti non attendibili. Tenere presente che per impostazione predefinita, i gruppi di sicurezza di rete negano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Riferimento: Gruppo di sicurezza di rete
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (non essere confusa con NSG o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'opzione di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un commutatore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: i clienti di Azure Databricks possono usare la funzionalità elenchi di accesso IP per definire un set di indirizzi IP approvati per impedire l'accesso da indirizzi IP pubblici o indirizzi IP non approvati.
Riferimento: Elenco di accesso IP in Databricks
Gestione delle identità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatorio per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: Azure Databricks viene configurato automaticamente per l'uso dell'accesso Single Sign-On di Azure Active Directory (Azure AD) per autenticare gli utenti. Gli utenti esterni all'organizzazione devono completare il processo di invito e essere aggiunti al tenant di Active Directory prima di poter accedere ad Azure Databricks tramite Single Sign-On. È possibile implementare SCIM per automatizzare il provisioning e il deprovisioning degli utenti dalle aree di lavoro.
Informazioni sull'accesso Single Sign-On per Azure Databricks
Come usare le API SCIM per Azure Databricks
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: per i servizi che non supportano le identità gestite, usare Azure Active Directory (Azure AD) per creare un'entità servizio con autorizzazioni limitate a livello di risorsa. Configurare le entità servizio con le credenziali del certificato e tornare ai segreti client per l'autenticazione.
Riferimento: entità servizio in Databricks
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure Databricks supporta inoltre elenchi di accesso IP per rendere più sicuro l'accesso all'applicazione Web e all'API REST.
Elenchi di accesso IP in Databricks
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Riferimento: Accesso condizionale in Databricks
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Integrazione e archiviazione di credenziali e segreti del servizio in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: Azure Databricks supporta anche un ambito segreto archiviato in (supportato da) un database crittografato di proprietà e gestito da Azure Databricks.
Ambiti supportati da Databricks
Linee guida alla configurazione: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli in file di codice o configurazione.
Riferimento: integrazione Key Vault in Databricks
Accesso con privilegi
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: è possibile usare le API SCIM di Azure Databricks per gestire gli utenti in un'area di lavoro di Azure Databricks e concedere privilegi amministrativi agli utenti designati.
In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere a oggetti dell'area di lavoro diversi.
Controllo di accesso in Databricks
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
Informazioni di riferimento: Come gestire il controllo di accesso in Azure Databricks
PA-8: Determinare il processo di accesso per il supporto del provider cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, approvare o rifiutare le richieste di accesso ai dati di Microsoft.
Riferimento: Customer Lockbox
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-3: Crittografare i dati sensibili in transito
Funzionalità
Dati in Crittografia di transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: per impostazione predefinita, i dati scambiati tra nodi di lavoro in un cluster non vengono crittografati. Se l'ambiente richiede che i dati vengano crittografati in qualsiasi momento, è possibile creare uno script init che configura i cluster per crittografare il traffico tra nodi di lavoro.
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui sono presenti dati nativi nella funzionalità di crittografia di transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che TLS v1.2 o versione successiva venga usato. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Riferimento: Crittografia dei dati in transito per Databricks
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Crittografia dei dati inattivi tramite chiavi della piattaforma
Descrizione: la crittografia dei dati inattivi tramite chiavi della piattaforma è supportata, tutti i contenuti dei clienti inattivi vengono crittografati con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia dei dati inattivi tramite chiavi gestite dalla piattaforma in Databricks
DP-5: usare l'opzione chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite CMK
Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: Azure Databricks include due funzionalità chiave gestite dal cliente per diversi tipi di dati.
Chiavi gestite dal cliente per la crittografia
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Riferimento: Crittografia dei dati inattivi tramite cmk in Databricks
DP-6: usare un processo di gestione delle chiavi sicuro
Funzionalità
Gestione delle chiavi in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: nota: non è possibile usare un token di accesso personale di Azure Databricks o un token dell'applicazione Azure AD appartenente a un'entità servizio.
Evitare il token di accesso personale
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK (Data Encryption Key) separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Verificare che le chiavi siano registrate in Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
Riferimento: Gestione delle chiavi in Databricks
Gestione degli asset
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: usare solo i servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: Databricks Criteri di Azure
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: Abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Indicazioni sulla configurazione: per la registrazione di controllo, Azure Databricks offre log di diagnostica end-to-end completi delle attività eseguite dagli utenti di Azure Databricks, consentendo all'azienda di monitorare i modelli di utilizzo dettagliati di Azure Databricks.
Nota: i log di diagnostica di Azure Databricks richiedono il piano Premium di Azure Databricks.
Come abilitare le impostazioni di diagnostica per il log attività di Azure
Come abilitare le impostazioni di diagnostica per Azure Databricks
Riferimento: Log delle risorse in Databricks
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione della postura e della vulnerabilità.
PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo
Funzionalità
Altre indicazioni per PV-3
Quando si crea un cluster di Azure Databricks, viene eseguito lo spin up delle immagini delle macchine virtuali di base. Il codice utente viene eseguito all'interno di contenitori distribuiti nelle macchine virtuali. Implementare una soluzione di gestione delle vulnerabilità di terze parti. Se si dispone di una sottoscrizione della piattaforma di gestione delle vulnerabilità, è possibile usare gli script di inizializzazione di Azure Databricks, in esecuzione nei contenitori in ognuno dei nodi, per installare gli agenti di valutazione delle vulnerabilità nei nodi del cluster Azure Databricks e gestire i nodi tramite il rispettivo portale. Ogni soluzione di terze parti funziona in modo diverso.
Script di inizializzazione del nodo del cluster Databricks
Backup e ripristino
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Backup e ripristino.
BR-1: Assicurarsi che i backup automatizzati regolari
Funzionalità
Backup di Azure
Descrizione: il servizio può essere eseguito il backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: per le origini dati di Azure Databricks, assicurarsi di aver configurato un livello appropriato di ridondanza dei dati per il caso d'uso. Se, ad esempio, si usa un account di archiviazione di Azure per l'archivio dati di Azure Databricks, scegliere l'opzione di ridondanza appropriata (archiviazione con ridondanza locale, con ridondanza della zona, con ridondanza geografica, con ridondanza geografica e accesso in lettura).
Origini dati per Azure Databricks
Linee guida sulla configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione delle funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Informazioni di riferimento: Ripristino di emergenza a livello di area per i cluster di Azure Databricks
Passaggi successivi
- Vedere la panoramica del benchmark della sicurezza cloud Microsoft
- Altre informazioni su Baseline di sicurezza di Azure