增强的安全监视
本文介绍增强型安全监视功能以及如何在 Azure Databricks 工作区或帐户上配置此功能。
如果启用此功能,则需按照定价页上的说明为增强的安全性和合规性加载项付费。
增强型安全监视概述
Azure Databricks 增强型安全监视提供了增强的强化磁盘映像和附加的安全监视代理,这些代理会生成可以使用诊断日志查看的日志行。
安全增强功能仅适用于经典计算平面中的计算资源,例如群集和非无服务器 SQL 仓库。
启用增强型安全监视后,无服务器计算平面资源(如无服务器 SQL 仓库)将不会进行额外的监视。
注意
支持大多数 Azure 实例类型,但不支持第 2 代 (Gen2) 和基于 Arm64 的虚拟机。 当启用了增强型安全监视时,Azure Databricks 不允许启动包含这些实例类型的计算。
增强型安全监视包括:
基于 Ubuntu Advantage 的增强型强化操作系统映像。
Ubuntu Advantage 是针对开源基础结构和应用程序的企业安全性和支持包,其中包括 CIS 1 级强化映像。
生成可查看的日志的防病毒监视代理。
生成可查看的日志的文件完整性监视代理。
Azure Databricks 计算平面映像中的监视代理
启用增强型安全监视后,还会有其他安全监视代理,包括在增强的计算平面映像中预安装的两个代理。 无法禁用增强的计算平面磁盘映像中的监视代理。
| 监视代理 | 位置 | 说明 | 如何获取输出 |
|---|---|---|---|
| 文件完整性监视 | 增强的计算平面映像 | 监视文件完整性和安全边界违规行为。 此监视代理在群集中的辅助角色 VM 上运行。 | 启用审核日志系统表并查看日志中是否有新行。 |
| 防病毒和恶意软件检测 | 增强的计算平面映像 | 每天扫描文件系统是否存在病毒。 此监视代理在计算资源(例如群集和专业版或经典 SQL 仓库)中的 VM 上运行。 防病毒和恶意软件检测代理扫描整个主机 OS 文件系统和 Databricks Runtime 容器文件系统。 群集 VM 以外的任何内容都不在扫描范围内。 | 启用审核日志系统表并查看日志中是否有新行。 |
| 漏洞扫描 | 扫描在 Azure Databricks 环境中的代表性映像中进行。 | 扫描容器主机 (VM) 是否存在某些已知漏洞与公共漏洞和暴露 (CVE)。 | 通过电子邮件发送给 Azure Databricks 工作区管理员。 |
若要获取最新版本的监视代理,可以重启群集。 如果工作区使用自动群集更新,则默认情况下,群集将在计划维护时段内根据需要重启。 如果在工作区上启用了合规性安全配置文件,则会在该工作区上永久启用自动群集更新。
文件完整性监视
增强的计算平面映像包括文件完整性监视服务,该服务为工作区中经典计算平面中的计算资源(群集辅助角色)提供运行时可见性和威胁检测。
文件完整性监视器输出将在审核日志内生成,你可以使用系统表访问这些日志。 请参阅使用系统表监视使用情况。 有关特定于文件完整性监视的可审核的新事件的 JSON 架构,请参阅文件完整性监视事件。
重要
你需要负责审阅这些日志。 Databricks 可以自行决定审查这些日志,但不承诺这样做。 如果代理检测到恶意活动,则当解决方案或修正需要 Databricks 执行操作时,你有责任对这些事件进行会审,并创建 Databricks 支持工单。 Databricks 可能会根据这些日志采取措施,包括暂停或终止资源,但不做出任何承诺。
防病毒和恶意软件检测
增强的计算平面映像包括用于检测木马、病毒、恶意软件和其他恶意威胁的防病毒引擎。 防病毒监视将扫描整个主机 OS 文件系统和 Databricks Runtime 容器文件系统。 群集 VM 以外的任何内容都不在扫描范围内。
防病毒监视器输出在审核日志内生成,可以使用系统表(公共预览版)访问这些日志。 有关特定于防病毒监视的可审核的新事件的 JSON 架构,请参阅防病毒监视事件。
生成新的虚拟机映像时,更新后的签名文件将包含在其中。
重要
你需要负责审阅这些日志。 Databricks 可以自行决定审查这些日志,但不承诺这样做。 如果代理检测到恶意活动,则当解决方案或修正需要 Databricks 执行操作时,你有责任对这些事件进行会审,并创建 Databricks 支持工单。 Databricks 可能会根据这些日志采取措施,包括暂停或终止资源,但不做出任何承诺。
生成新的 AMI 映像后,更新的签名文件将包含在新的 AMI 映像中。
漏洞扫描
漏洞监视代理会对容器主机 (VM) 执行漏洞扫描以确定是否存在某些已知的 CVE。 可在 Azure Databricks 环境中的代表性映像中执行扫描。 Azure Databricks 发布新的 AMI 磁盘映像时,漏洞扫描报告会通过电子邮件发送给所有工作区管理员。
使用此代理发现漏洞后,Databricks 会根据其漏洞管理 SLA 跟踪这些漏洞,并在可用时发布更新后的映像。
监视代理的管理和升级
用于经典计算平面中的计算资源的磁盘映像上的其他监视代理是用于升级系统的标准 Azure Databricks 过程的一部分:
- 经典计算平面基础磁盘映像 (AMI) 由 Databricks 拥有、管理和修补。
- Databricks 通过发布新的 AMI 磁盘映像来提供并应用安全修补程序。 交付计划取决于新功能和发现漏洞的 SLA。 通常每两到四周交付一次。
- 计算平面的基础操作系统是 Ubuntu Advantage。
- 默认情况下,Azure Databricks 群集和专业版或经典 SQL 仓库是临时的。 启动后,群集和专业版或经典 SQL 仓库将使用最新的可用基础映像。 新群集无法使用可能存在安全漏洞的旧版本。
- 你应负责定期重启群集(使用 UI 或 API),以确保它们使用最新修补后的主机 VM 映像。
监视代理终止
如果发现辅助角色 VM 上的监视代理由于崩溃或其他终止而未运行,系统将尝试重启代理。
用于监视代理数据的数据保留策略
如果已配置诊断日志,监视日志将发送到 Azure 订阅中你自己存储的审核日志系统表。 保留、引入和分析这些日志是你的责任。
漏洞扫描报告和日志由 Databricks 保留至少一年。
启用 Azure Databricks 增强型安全监视
- Azure Databricks 工作区必须采用高级计划。
若要在工作区上启用增强型安全监视,请参阅使用 Azure 门户在新工作区上启用设置。
更新最多可能需要六个小时才能传播到所有环境和下游系统,例如计费。 主动运行的工作负载将继续使用启动群集或其他计算资源时处于活动状态的设置,新设置将在下一次启动这些工作负载时开始应用。