Настройка параметров повышенной безопасности и соответствия требованиям
Расширенная безопасность и соответствие — это надстройка платформы, которая обеспечивает улучшенную безопасность и элементы управления для ваших потребностей в соответствии с требованиями. Дополнительные сведения см. на странице цен. В этой статье описывается настройка параметров повышенной безопасности и соответствия требованиям в рабочей области Azure Databricks. Рабочая область Azure Databricks должна находиться в плане "Премиум".
Включение расширенных функций безопасности и соответствия требованиям с помощью портала Azure
В портал Azure щелкните вкладку "Безопасность и соответствие" существующей рабочей области Azure Databricks или на странице создания рабочей области Azure Databricks.
Чтобы включить профиль безопасности соответствия требованиям, установите флажок рядом с Включить профиль безопасности соответствия. В раскрывающемся списке выберите один или несколько стандартов соответствия или выберите None.
Если включить профиль безопасности соответствия или добавить стандарты соответствия требованиям, эти выборы являются постоянными для этой рабочей области.
Чтобы включить расширенный мониторинг безопасности, установите флажок Включить расширенный мониторинг безопасности.
Чтобы включить автоматическое обновление кластера, установите флажок Включить автоматическое обновление кластера.
Сведения о настройке периода обслуживания и его частоте см. в разделе Автоматическое обновление кластера
Включение расширенных функций безопасности и соответствия требованиям с помощью шаблона ARM
Вы можете настроить функции надстройки повышенной безопасности и соответствия требованиям с помощью шаблона ARM, который предоставляет Databricks. Он содержит дополнительные параметры, которые можно задать для Enabled
или Disabled
. Если вы хотите добавить их в существующий шаблон для обновления рабочей области, это можно сделать. Вы можете самостоятельно задать функции, кроме указанных ниже.
-
complianceSecurityProfile
: включает профиль безопасности соответствия требованиям. После включения эта функция постоянно включена в рабочей области. -
complianceStandards
: настраивает массив стандартов соответствия требованиям для использования с профилем безопасности соответствия.- Если
complianceSecurityProfile
задано значениеDisabled
, передайте пустой массив. - Если для
complianceSecurityProfile
задано значениеEnabled
, необходимо передать массив из одной или нескольких строк, которые указывают, какие (если таковые) стандарты соответствия, необходимые для рабочей области. Возможные варианты выбора :HIPAA
илиPCI_DSS
NONE
. Добавьте один элементNONE
массива, если вы используете профиль безопасности соответствия только для его преимуществ безопасности, но не для обработки регулируемых данных.
- Если
-
enhancedSecurityMonitoring
— обеспечивает расширенный мониторинг безопасности. Если профиль безопасности соответствия включён, необходимо явно указать эту функцию какEnabled
в шаблоне. -
automaticClusterUpdate
— включает автоматическое обновление кластера. Если профиль безопасности на соответствие включен, необходимо явно задать этот параметр дляEnabled
в шаблоне. Сведения о настройке периода обслуживания и его частоте см. в разделе Автоматическое обновление кластера.
Чтобы обновить рабочую область с одной или несколькими этими функциями, выполните те же инструкции по развертыванию пользовательского шаблона, что и для создания новой рабочей области с помощью шаблона. Однако убедитесь, что вы используете исходный шаблон, а затем скопируйте поля из предоставленного примера шаблона в существующий шаблон рабочей области.
Шаблон рабочей области с расширенными функциями безопасности и соответствия требованиям
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": [
"standard",
"premium"
],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HIPAA", "PCI_DSS"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
Включение расширенных функций безопасности и соответствия требованиям с помощью Terraform
Улучшенные безопасность и соблюдение норм можно активировать на рабочей области Azure Databricks с помощью модуля Terraform azurerm
для Databricks. Дополнительные сведения о подключаемом модуле Terraform azurerm
см. в azurerm_databricks_workspace.
Например, чтобы создать рабочую область Azure Databricks с включёнными контролями на соответствие HIPAA и PCI-DSS, используйте следующее:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
enhanced_security_monitoring_enabled = true
}
}