Configurer des paramètres de sécurité et de conformité renforcées

Cette page explique comment configurer des paramètres de sécurité et de conformité améliorés sur votre espace de travail Azure Databricks.

Important

L’activation du profil de sécurité de conformité ou l’ajout de normes de conformité à un espace de travail est destinée à être un changement permanent.
Vous ne pouvez pas supprimer le profil de conformité ou les normes individuelles d’un espace de travail s’il a déjà traité des données réglementées. Pour revenir, vous devez supprimer l’espace de travail et en créer un sans profil ou avec une norme différente. Pour obtenir de l’aide, contactez le support Azure Databricks.

Spécifications

Votre espace de travail Azure Databricks doit être au niveau Premium.
Votre compte Databricks doit inclure le module complémentaire Sécurité et conformité renforcées.

Vous êtes uniquement responsable de la vérification que les informations sensibles ne sont jamais entrées dans les champs d’entrée définis par le client, tels que les noms d’espace de travail, les noms de ressources de calcul, les balises, les noms de travaux, les noms d’exécution de travaux, les noms de réseau, les noms d’informations d’identification, les noms de compte de stockage et les ID de référentiel Git ou les URL. Ces champs peuvent être stockés, traités ou accessibles en dehors de la limite de conformité.

Exigences de profil de sécurité de conformité

Si l’espace de travail est configuré pour restreindre l’accès réseau sortant, vous devez configurer votre réseau pour autoriser en plus le trafic vers le port 2443. Consultez Déployer Azure Databricks dans votre réseau virtuel Azure (injection de réseau virtuel).
Les machines virtuelles arm64 ne sont pas prises en charge. Azure Databricks n’autorise pas le démarrage du calcul avec les types d’instances de machine virtuelle Arm64 lorsque le profil de sécurité de conformité est activé.
Le chiffrement de réseau virtuel Azure doit être activé sur votre espace de travail. Voir qu’est-ce que le chiffrement de réseau virtuel Azure ?
Vous devez utiliser un type d’instance de machine virtuelle qui prend en charge le chiffrement de réseau virtuel Azure. Consultez la configuration requise pour le chiffrement du réseau virtuel Azure.

Remarque

Sur les espaces de travail qui ont activé le profil de sécurité de conformité, le paramètre des fonctionnalités d'intelligence artificielle propulsées par un partenaire est désactivé par défaut. Certaines fonctionnalités d’assistance d’IA Databricks, notamment l’Assistant et Génie, sont également désactivées. Les administrateurs de l’espace de travail peuvent activer ces fonctionnalités en activant les fonctionnalités IA optimisées par les partenaires.

Activer des fonctionnalités de sécurité et de conformité améliorées sur un espace de travail

Vous pouvez créer un espace de travail avec des fonctionnalités de sécurité et de conformité améliorées à l’aide du portail Azure, d’Azure CLI, de PowerShell, d’un modèle ARM ou de Terraform.

Utiliser le Portail Azure

Dans le portail Azure, cliquez sur La sécurité des paramètres > et la conformité d’un espace de travail Azure Databricks existant ou sur la page de création de l’espace de travail Azure Databricks.
Pour activer le profil de sécurité de conformité, cochez la case en regard d’Activer le profil de sécurité de conformité. Dans la liste déroulante, sélectionnez une ou plusieurs normes de conformité ou sélectionnez Aucun. La liste déroulante répertorie les normes de conformité disponibles dans votre région d’espace de travail.

Si vous activez le profil de sécurité de conformité ou que vous ajoutez des normes de conformité, ces sélections sont permanentes pour cet espace de travail.
Pour activer la surveillance améliorée de la sécurité, cochez la case Activer la surveillance améliorée de la sécurité.
Pour activer la mise à jour automatique du cluster, cochez la case Activer la mise à jour automatique du cluster.

Pour configurer la fenêtre de maintenance et sa fréquence, consultez Mise à jour automatique du cluster

Utiliser Azure CLI

Vous pouvez créer un espace de travail avec des fonctionnalités de sécurité et de conformité améliorées à l’aide d’Azure CLI. Les normes de conformité possibles sont les suivantes : HIPAA, , PCI_DSSHITRUST, IRAP_PROTECTEDUK_CYBER_ESSENTIALS_PLUS, , CANADA_PROTECTED_B, ou NONE. Vous pouvez sélectionner plusieurs normes de conformité. Par exemple:

az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring

Utiliser Powershell

Vous pouvez créer un espace de travail avec des fonctionnalités de sécurité et de conformité améliorées à l’aide de PowerShell. Les normes de conformité possibles sont les suivantes : HIPAA, , PCI_DSSHITRUST, IRAP_PROTECTEDUK_CYBER_ESSENTIALS_PLUS, , CANADA_PROTECTED_B, ou NONE. Vous pouvez sélectionner plusieurs normes de conformité. Par exemple:

New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")

Utiliser un modèle ARM

Vous pouvez configurer les fonctionnalités du module complémentaire Sécurité et conformité renforcées avec un modèle ARM fourni par Databricks. Il contient des paramètres supplémentaires que vous pouvez définir sur Enabled ou Disabled. Si vous souhaitez les ajouter à un modèle existant pour mettre à jour l’espace de travail, vous pouvez le faire. Vous pouvez définir des fonctionnalités indépendamment, sauf indication :

complianceSecurityProfile : active le profil de sécurité de conformité. Une fois activée, cette fonctionnalité est activée de façon permanente sur l’espace de travail.
complianceStandards : configure un tableau de normes de conformité à utiliser avec le profil de sécurité de conformité.
- Si complianceSecurityProfile est défini sur Disabled, passez un tableau vide.
- Si complianceSecurityProfile est défini sur Enabled, vous devez passer un tableau d’une ou plusieurs chaînes qui spécifient (le cas échéant) les normes de conformité souhaitées pour votre espace de travail. Les sélections possibles sont HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_B, ou NONE. Ajoutez l’élément de tableau unique NONE si vous utilisez le profil de sécurité de conformité seulement pour ses avantages en matière de sécurité, mais pas pour traiter des données réglementées.
enhancedSecurityMonitoring – Active la surveillance de la sécurité renforcée. Si le profil de sécurité de conformité est activé, vous devez définir cette fonctionnalité Enabled de manière explicite dans le modèle.
automaticClusterUpdate — Active la mise à jour automatique du cluster. Si le profil de sécurité de conformité est activé, vous devez définir cette fonctionnalité Enabled de manière explicite dans le modèle. Pour configurer la fenêtre de maintenance et sa fréquence, consultez Mise à jour automatique du cluster.

Pour mettre à jour un espace de travail avec une ou plusieurs de ces fonctionnalités, suivez les mêmes instructions pour déployer un modèle personnalisé que vous le feriez pour créer un espace de travail avec un modèle. Vérifiez cependant que vous utilisez votre modèle d’origine, puis copiez les champs de l’exemple de modèle fourni dans votre modèle d’espace de travail existant.

Modèle d’espace de travail avec des fonctionnalités de sécurité et de conformité avancées

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": ["standard", "premium"],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
    "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
    "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
    "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HITRUST"],
        ["IRAP_PROTECTED"],
        ["UK_CYBER_ESSENTIALS_PLUS"],
        ["CANADA_PROTECTED_B"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

Utiliser Terraform

La sécurité et la conformité améliorées peuvent également être activées sur un espace de travail Azure Databricks à l’aide du plug-in Terraform azurerm pour Databricks. Pour plus d’informations sur le plug-in Terraform azurerm, consultez azurerm_databricks_workspace.

Par exemple, pour créer un espace de travail Azure Databricks avec des contrôles de conformité activés, utilisez les éléments suivants :

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "HITRUST", "IRAP_PROTECTED", "UK_CYBER_ESSENTIALS_PLUS", "CANADA_PROTECTED_B", "NONE"]
  enhanced_security_monitoring_enabled  = true
  }
}

Vérifiez que le profil de sécurité de conformité est activé pour un espace de travail

Vous pouvez confirmer qu’un espace de travail utilise le profil de sécurité de conformité dans l’onglet Sécurité et conformité de la page de l’espace de travail dans la console de compte.

Protégez le compte.

L’espace de travail a également un logo de protection affiché dans l’interface utilisateur de l’espace de travail. Un logo de bouclier apparaît en haut à droite de la page, à droite du nom de l’espace de travail. Cliquez sur le nom de l’espace de travail pour voir la liste des espaces de travail auxquels vous avez accès. Les espaces de travail qui activent le profil de sécurité de conformité ont une icône de protection.

Si les icônes de bouclier sont manquantes pour un espace de travail avec le profil de sécurité de conformité activé, contactez l’équipe de votre compte Azure Databricks.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-11-28