增強的安全性監視
本文說明增強的安全性監視功能,以及如何在 Azure Databricks 工作區或帳戶上進行設定。
如果啟用這項功能,系統會向您收取增強式安全性與合規性附加元件的費用,如定價頁面上所述。
增強式安全性監視概觀
Azure Databricks 增強式安全性監視提供增強的強化磁碟映射,以及產生記錄數據列的其他安全性監視代理程式,可讓您使用診斷記錄來檢閱。
安全性增強功能僅適用於傳統計算平面中的計算資源,例如叢集和非無伺服器 SQL 倉儲。
無伺服器計算平面資源,例如無伺服器 SQL 倉儲,在啟用增強式安全性監視時,不會有額外的監視。
注意
大部分的 Azure 執行個體類型都受到支援,但不支援第 2 代 (Gen2) 和 Arm64 型虛擬機器。 啟用增強式安全性監視時,Azure Databricks 不允許使用這些實例類型啟動計算。
增強的安全性監控包括:
以 Ubuntu Advantage 為基礎的增強式強化作業系統映像。
Ubuntu Advantage 是企業安全性和支援套件,適用於包含 CIS 層級 1 強化映像的開放原始碼基礎結構和應用程式。
產生您可以檢閱之記錄的防毒監視代理程式。
產生您可以檢閱之記錄的檔案完整性監視代理程式。
在 Azure Databricks 計算平面映像中監視代理程式
啟用增強式安全性監視時,還有其他安全性監視代理程式,包括預安裝在增強型計算平面映像中的兩個代理程式。 您無法停用增強型計算平面磁碟映像中的監視代理程式。
監視代理程式 | Location | 描述 | 如何取得輸出 |
---|---|---|---|
檔案完整性監視 | 增強型計算平面影像 | 監視檔案完整性和安全性界限違規。 此監視代理程式會在叢集中的背景工作 VM 上執行。 | 啟用稽核記錄系統數據表,並檢閱新數據列的記錄。 |
防病毒軟體和惡意代碼偵測 | 增強型計算平面影像 | 每天掃描檔系統是否有病毒。 此監視代理程式會在計算資源中的 VM 上執行,例如叢集和專業或傳統 SQL 倉儲。 防病毒軟體和惡意代碼偵測代理程式會掃描整個主機 OS 檔案系統和 Databricks 執行時間容器文件系統。 叢集 VM 以外的任何專案都超出其掃描範圍。 | 啟用稽核記錄系統數據表,並檢閱新數據列的記錄。 |
弱點掃描 | 掃描會在 Azure Databricks 環境中的代表性映射中發生。 | 掃描容器主機 (VM) 是否有特定已知弱點和常見弱點和暴露程度 (CVE)。 | 傳送電子郵件給 Azure Databricks 工作區管理員。 |
若要取得最新版的監視代理程式,您可以重新啟動叢集。 如果您的工作區使用 自動叢集更新,則根據預設,叢集會在排程維護期間視需要重新啟動。 如果在工作區上啟用合規性安全性配置檔,則會在該工作區上永久啟用自動叢集更新。
檔案完整性監視
增強型計算平面映像包含檔案完整性監視服務,可為工作區中傳統計算平面中的計算資源(叢集背景工作角色)提供運行時間可見性和威脅偵測。
檔案完整性監視器輸出會在稽核記錄內產生,您可以使用系統數據表來存取。 請參閱 使用系統數據表監視帳戶活動。 如需檔案完整性監視專屬之新可稽核事件的 JSON 架構,請參閱 檔案完整性監視事件。
重要
您必須負責檢閱這些記錄。 Databricks 可以自行檢閱這些記錄,但不承諾這麼做。 如果代理程式偵測到惡意活動,您必須負責分級這些事件,並在解決或補救需要 Databricks 的動作時,向 Databricks 開啟支援票證。 Databricks 可能會根據這些記錄採取動作,包括暫停或終止資源,但不會做出任何承諾來執行此動作。
防病毒軟體和惡意代碼偵測
增強型計算平面映像包含一個防病毒軟體引擎,可用來偵測特洛伊木馬程式、病毒、惡意代碼和其他惡意威脅。 防毒監視器會掃描整個主機 OS 檔案系統和 Databricks Runtime 容器文件系統。 叢集 VM 以外的任何專案都超出其掃描範圍。
防毒監視器輸出會在稽核記錄內產生,您可以使用系統數據表進行存取。 如需防毒監視專屬之新可稽核事件的 JSON 架構,請參閱 防病毒軟體監視事件。
建置新的虛擬機映射時,會包含更新的簽章檔案。
重要
您必須負責檢閱這些記錄。 Databricks 可以自行檢閱這些記錄,但不承諾這麼做。 如果代理程式偵測到惡意活動,您必須負責分級這些事件,並在解決或補救需要 Databricks 的動作時,向 Databricks 開啟支援票證。 Databricks 可能會根據這些記錄採取動作,包括暫停或終止資源,但不會做出任何承諾來執行此動作。
建置新的 AMI 映射時,新的 AMI 映像中會包含更新的簽章檔案。
弱點掃描
弱點監視代理程式會針對特定已知的 CVE 執行容器主機 (VM) 的弱點掃描。 掃描會在 Azure Databricks 環境中的代表性影像中發生。 當 Azure Databricks 發行新的 AMI 磁碟映射時,弱點掃描報告會以電子郵件傳送給所有工作區系統管理員。
當此代理程序發現弱點時,Databricks 會針對其弱點管理 SLA 追蹤它們,並在可用時釋放更新的映像。
監視代理程式的管理和升級
傳統計算平面中用於計算資源之磁碟映像上的其他監視代理程式是升級系統的標準 Azure Databricks 程式的一部分:
- 傳統計算平面基底磁碟映射 (AMI) 由 Databricks 擁有、管理及修補。
- Databricks 藉由發行新的 AMI 磁碟映像來傳遞並套用安全性修補程式。 傳遞排程取決於新功能和所探索弱點的 SLA。 一般傳遞每兩到四周。
- 計算平面的基礎操作系統是Ubuntu優勢。
- Azure Databricks 叢集和專業或傳統 SQL 倉儲預設為暫時性。 啟動時,叢集和專業或傳統 SQL 倉儲會使用最新的可用基底映射。 新叢集無法使用可能具有安全性弱點的舊版。
- 您必須負責 定期重新啟動叢集 (使用UI或API),以確保它們使用最新的修補主機 VM 映射。
監視代理程序終止
如果發現背景工作 VM 上的監視代理程式因當機或其他終止而未執行,系統會嘗試重新啟動代理程式。
監視代理程式數據的數據保留原則
如果您設定 診斷記錄,監視記錄會傳送至 Azure 訂用帳戶中您自己的記憶體稽核記錄系統數據表。 這些記錄的保留、擷取和分析是您的責任。
Databricks 至少會保留一年的弱點掃描報告和記錄。
啟用 Azure Databricks 增強式安全性監視
- 您的 Azure Databricks 工作區必須使用進階方案。
若要在工作區上啟用增強式安全性監視,請參閱使用 Azure 入口網站 在新工作區上啟用設定。
更新最多可能需要六個小時才能傳播到所有環境和下游系統,例如計費。 正在主動執行的工作負載會繼續進行啟動叢集或其他計算資源時作用中的設定,而新的設定將在下次啟動這些工作負載時開始套用。