Profil zabezpieczeń zgodności
W tym artykule opisano profil zabezpieczeń zgodności i jego mechanizmy kontroli zgodności.
Omówienie profilu zabezpieczeń zgodności
Profil zabezpieczeń zgodności umożliwia dodatkowe monitorowanie, obraz obliczeniowy ze wzmocnionymi zabezpieczeniami oraz inne funkcje i mechanizmy kontroli w obszarach roboczych usługi Azure Databricks. Profil zabezpieczeń zgodności zawiera mechanizmy kontroli, które pomagają spełnić odpowiednie wymagania dotyczące zabezpieczeń niektórych standardów zgodności. Włączenie profilu zabezpieczeń zgodności jest wymagane, aby używać usługi Azure Databricks do przetwarzania danych, które są regulowane zgodnie z następującymi standardami zgodności:
Usługa Databricks zdecydowanie zaleca włączenie profilu zabezpieczeń zgodności do przetwarzania danych w ramach programu HIPAA, ale nie jest to wymagane.
Możesz również włączyć profil zabezpieczeń zgodności dla rozszerzonych funkcji zabezpieczeń bez konieczności zachowania zgodności ze standardem zgodności.
Ważne
- Użytkownik ponosi wyłączną odpowiedzialność za zapewnienie zgodności z wszystkimi obowiązującymi przepisami i przepisami.
- W przypadku standardu PCI-DSS ponosisz wyłączną odpowiedzialność za zapewnienie, że profil zabezpieczeń zgodności i odpowiednie standardy zgodności są skonfigurowane przed przetworzeniem danych regulowanych. W przypadku przetwarzania danych PHI usługa Databricks zdecydowanie zaleca użycie profilu zabezpieczeń zgodności i wybranie standardu zgodności HIPAA.
Jeśli włączysz tę funkcję w dowolnym obszarze roboczym, opłata jest naliczana za dodatek Rozszerzone zabezpieczenia i zgodność zgodnie z opisem na stronie cennika.
Które zasoby obliczeniowe uzyskują zwiększone zabezpieczenia
Ulepszenia profilu zabezpieczeń zgodności dotyczą zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej we wszystkich regionach.
Ulepszenia profilu zabezpieczeń zgodności dla programu HIPAA mają również zastosowanie do zasobów obliczeniowych na bezserwerowej płaszczyźnie obliczeniowej we wszystkich regionach.
Usługa Azure Databricks nie zezwala na uruchamianie bezserwerowych zasobów obliczeniowych po włączeniu standardu PCI-DSS.
Uwaga
Większość typów wystąpień platformy Azure jest obsługiwana, ale maszyny wirtualne oparte na generacji 2 (Gen2) i Arm64 nie są obsługiwane. Usługa Azure Databricks nie zezwala na uruchamianie obliczeń z tymi typami wystąpień po włączeniu profilu zabezpieczeń zgodności.
Aby uzyskać więcej informacji na temat architektury płaszczyzny obliczeniowej, zobacz Omówienie architektury usługi Azure Databricks.
Funkcje profilu zabezpieczeń zgodności i mechanizmy kontroli technicznej
Ulepszenia zabezpieczeń obejmują:
Ulepszony obraz systemu operacyjnego ze wzmocnionymi zabezpieczeniami oparty na systemie Ubuntu Advantage.
Ubuntu Advantage to pakiet zabezpieczeń przedsiębiorstwa i obsługa infrastruktury typu open source oraz aplikacji, które zawierają obraz ze wzmocnionymi zabezpieczeniami na poziomie CIS 1 .
Automatyczna aktualizacja klastra jest automatycznie włączona.
Klastry są uruchamiane ponownie, aby okresowo pobierać najnowsze aktualizacje podczas okna obsługi, które można skonfigurować. Zobacz Automatyczna aktualizacja klastra.
Ulepszone zabezpieczanie monitorowania jest automatycznie włączone.
Agenci monitorowania zabezpieczeń generują dzienniki, które można przejrzeć. Aby uzyskać więcej informacji na temat agentów monitorowania, zobacz Monitorowanie agentów w obrazach płaszczyzn obliczeniowych usługi Azure Databricks.
Komunikacja w klastrze i w przypadku ruchu wychodzącego używa szyfrowania TLS 1.2 lub nowszego, w tym nawiązywania połączenia z magazynem metadanych.
Wymagania
Krok 1. Przygotowanie obszaru roboczego dla profilu zabezpieczeń zgodności
Wykonaj następujące kroki, gdy utworzysz nowe obszary robocze z włączonym profilem zabezpieczeń lub włączysz go w istniejącym obszarze roboczym.
- Jeśli obszar roboczy jest skonfigurowany do ograniczania dostępu do sieci wychodzącej, należy skonfigurować sieć, aby dodatkowo zezwalać na ruch do portu 2443. Zobacz Wdrażanie usługi Azure Databricks w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej).
- Uruchom następujące testy, aby sprawdzić, czy zmiany zostały poprawnie zastosowane:
- Uruchom klaster usługi Databricks z jednym sterownikiem, jednym procesem roboczym, dowolną wersją DBR i dowolnym obsługiwanym typem wystąpienia.
- Upewnij się, że klaster przechodzi w stan Uruchomiony .
Krok 2. Włączanie profilu zabezpieczeń zgodności w obszarze roboczym
Uwaga
Asystent usługi Databricks jest domyślnie wyłączony w obszarach roboczych, które włączyły profil zabezpieczeń zgodności. Administratorzy obszaru roboczego mogą ją włączyć, postępując zgodnie z instrukcjami Dla konta: Wyłączanie lub włączanie funkcji Asystenta usługi Databricks.
Włącz profil zabezpieczeń zgodności.
Aby włączyć profil zabezpieczeń zgodności w obszarze roboczym przy użyciu witryny Azure Portal, zobacz Włączanie rozszerzonych funkcji zabezpieczeń i zgodności przy użyciu witryny Azure Portal. Możesz również użyć szablonu usługi ARM, aby włączyć profil zabezpieczeń zgodności. Zobacz Włącz ulepszone funkcje zabezpieczeń i zgodności używając szablonu ARM.
Propagowanie aktualizacji do wszystkich środowisk może potrwać do sześciu godzin. Obciążenia, które aktywnie działają, kontynuują ustawienia, które były aktywne w momencie uruchamiania zasobu obliczeniowego, a nowe ustawienia są stosowane przy następnym uruchomieniu tych obciążeń.
Uruchom ponownie wszystkie uruchomione obliczenia.
Krok 3. Potwierdzenie włączenia profilu zabezpieczeń zgodności dla obszaru roboczego
Aby potwierdzić, że obszar roboczy korzysta z profilu zabezpieczeń zgodności, sprawdź, czy ma ono żółte logo osłony wyświetlane w interfejsie użytkownika.
Logo osłony jest wyświetlane w prawym górnym rogu strony po lewej stronie nazwy obszaru roboczego:
Kliknij nazwę obszaru roboczego, aby wyświetlić listę obszarów roboczych, do których masz dostęp. Obszary robocze, które umożliwiają profil zabezpieczeń zgodności, mają ikonę osłony, a następnie tekst "Profil zabezpieczeń zgodności".
Możesz również potwierdzić, że obszar roboczy korzysta z profilu zabezpieczeń zgodności na karcie Zabezpieczenia i zgodność na stronie obszaru roboczego w konsoli konta.
Jeśli brakuje ikon tarczy dla obszaru roboczego z włączonym profilem zabezpieczeń zgodności, skontaktuj się z zespołem konta usługi Azure Databricks.