Поделиться через


Настройка параметров повышенной безопасности и соответствия требованиям

Расширенная безопасность и соответствие — это надстройка платформы, которая обеспечивает улучшенную безопасность и элементы управления для ваших потребностей в соответствии с требованиями. Дополнительные сведения см. на странице цен. В этой статье описывается настройка параметров повышенной безопасности и соответствия требованиям в рабочей области Azure Databricks. Рабочая область Azure Databricks должна находиться в плане "Премиум".

Включение расширенных функций безопасности и соответствия требованиям с помощью портала Azure

  1. В портал Azure щелкните вкладку "Безопасность и соответствие" существующей рабочей области Azure Databricks или на странице создания рабочей области Azure Databricks.

  2. Чтобы включить профиль безопасности соответствия требованиям, установите флажок рядом с Включить профиль безопасности соответствия. В раскрывающемся списке выберите один или несколько стандартов соответствия или выберите None.

    Расширенные функции надстроек безопасности и соответствия требованиям в портал Azure для новых рабочих областей.

    Если включить профиль безопасности соответствия или добавить стандарты соответствия требованиям, эти выборы являются постоянными для этой рабочей области.

  3. Чтобы включить расширенный мониторинг безопасности, установите флажок Включить расширенный мониторинг безопасности.

  4. Чтобы включить автоматическое обновление кластера, установите флажок Включить автоматическое обновление кластера.

    Сведения о настройке периода обслуживания и его частоте см. в разделе Автоматическое обновление кластера

Включение расширенных функций безопасности и соответствия требованиям с помощью шаблона ARM

Вы можете настроить функции надстройки повышенной безопасности и соответствия требованиям с помощью шаблона ARM, который предоставляет Databricks. Он содержит дополнительные параметры, которые можно задать для Enabled или Disabled. Если вы хотите добавить их в существующий шаблон для обновления рабочей области, это можно сделать. Вы можете самостоятельно задать функции, кроме указанных ниже.

  • complianceSecurityProfile: включает профиль безопасности соответствия требованиям. После включения эта функция постоянно включена в рабочей области.
  • complianceStandards: настраивает массив стандартов соответствия требованиям для использования с профилем безопасности соответствия.
    • Если complianceSecurityProfile задано значение Disabled, передайте пустой массив.
    • Если для complianceSecurityProfile задано значение Enabled, необходимо передать массив из одной или нескольких строк, которые указывают, какие (если таковые) стандарты соответствия, необходимые для рабочей области. Возможные варианты выбора : HIPAAили PCI_DSSNONE. Добавьте один элемент NONE массива, если вы используете профиль безопасности соответствия только для его преимуществ безопасности, но не для обработки регулируемых данных.
  • enhancedSecurityMonitoring — обеспечивает расширенный мониторинг безопасности. Если профиль безопасности соответствия включён, необходимо явно указать эту функцию как Enabled в шаблоне.
  • automaticClusterUpdate — включает автоматическое обновление кластера. Если профиль безопасности на соответствие включен, необходимо явно задать этот параметр для Enabled в шаблоне. Сведения о настройке периода обслуживания и его частоте см. в разделе Автоматическое обновление кластера.

Чтобы обновить рабочую область с одной или несколькими этими функциями, выполните те же инструкции по развертыванию пользовательского шаблона, что и для создания новой рабочей области с помощью шаблона. Однако убедитесь, что вы используете исходный шаблон, а затем скопируйте поля из предоставленного примера шаблона в существующий шаблон рабочей области.

Шаблон рабочей области с расширенными функциями безопасности и соответствия требованиям

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": [
        "standard",
        "premium"
      ],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
  "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
  "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
  "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
  "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HIPAA", "PCI_DSS"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

Включение расширенных функций безопасности и соответствия требованиям с помощью Terraform

Улучшенные безопасность и соблюдение норм можно активировать на рабочей области Azure Databricks с помощью модуля Terraform azurerm для Databricks. Дополнительные сведения о подключаемом модуле Terraform azurerm см. в azurerm_databricks_workspace.

Например, чтобы создать рабочую область Azure Databricks с включёнными контролями на соответствие HIPAA и PCI-DSS, используйте следующее:

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
  enhanced_security_monitoring_enabled  = true
  }
}