Konfigurowanie rozszerzonych ustawień zabezpieczeń i zgodności

Na tej stronie opisano sposób konfigurowania rozszerzonych ustawień zabezpieczeń i zgodności w obszarze roboczym usługi Azure Databricks.

Wymagania

• Obszar roboczy usługi Azure Databricks znajduje się w warstwie cenowej Premium.
• Twoje konto usługi Databricks musi zawierać dodatek Rozszerzone zabezpieczenia i zgodność.

• Użytkownik ponosi wyłączną odpowiedzialność za sprawdzenie, czy poufne informacje nigdy nie są wprowadzane w polach wejściowych zdefiniowanych przez klienta, takich jak nazwy obszarów roboczych, nazwy zasobów obliczeniowych, tagi, nazwy zadań, nazwy przebiegów zadań, nazwy sieci, nazwy poświadczeń, nazwy kont magazynu i identyfikatory lub adresy URL repozytorium Git. Te pola mogą być przechowywane, przetwarzane lub dostępne poza granicą zgodności.

Wymagania dotyczące profilu zabezpieczeń zgodności

• Jeśli obszar roboczy jest skonfigurowany do ograniczania dostępu do sieci wychodzącej, należy skonfigurować sieć, aby dodatkowo zezwalać na ruch do portu 2443. Zobacz Wdrażanie usługi Azure Databricks w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej).

• Maszyny wirtualne oparte na architekturze Arm64 nie są obsługiwane. Usługa Azure Databricks nie zezwala na uruchamianie obliczeń z typami maszyn wirtualnych opartych na Arm64, gdy włączony jest profil zabezpieczeń zgodności.

• Szyfrowanie usługi Azure Virtual Network musi być włączone w obszarze roboczym. Zobacz Co to jest szyfrowanie usługi Azure Virtual Network?

• Musisz użyć typu instancji maszyny wirtualnej, który obsługuje szyfrowanie Azure Virtual Network. Zobacz Wymagania dotyczące szyfrowania usługi Azure Virtual Network.

Włączanie rozszerzonych funkcji zabezpieczeń i zgodności w obszarze roboczym

Obszar roboczy można utworzyć z rozszerzonymi funkcjami zabezpieczeń i zgodności przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu PowerShell, szablonu usługi ARM lub narzędzia Terraform.

Korzystanie z witryny Azure Portal

1. W witrynie Azure Portal kliknij pozycję Ustawienia > Zabezpieczenia i zgodność istniejącego obszaru roboczego usługi Azure Databricks lub na stronie tworzenia obszaru roboczego usługi Azure Databricks.

2. Aby włączyć profil zabezpieczeń zgodności, zaznacz pole wyboru obok Włącz profil zabezpieczeń zgodności. Z listy rozwijanej wybierz co najmniej jeden standard zgodności lub wybierz pozycję None. Lista rozwijana zawiera listę standardów zgodności dostępnych w regionie obszaru roboczego.

   

   Jeśli włączysz profil zabezpieczeń zgodności lub dodasz standardy zgodności, te opcje będą trwałe dla tego obszaru roboczego.

3. Aby włączyć rozszerzone monitorowanie zabezpieczeń, zaznacz pole wyboru Włącz rozszerzone monitorowanie zabezpieczeń.

4. Aby włączyć automatyczną aktualizację klastra, zaznacz pole wyboru Włącz automatyczną aktualizację klastra.

   Aby skonfigurować okno konserwacji i jego częstotliwość, sprawdź Automatyczna aktualizacja klastra

Korzystanie z interfejsu wiersza polecenia platformy Azure

Obszar roboczy można utworzyć z rozszerzonymi funkcjami zabezpieczeń i zgodności przy użyciu interfejsu wiersza polecenia platformy Azure. Możliwe standardy zgodności obejmują: HIPAA, , PCI_DSS, HITRUSTIRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, , CANADA_PROTECTED_Blub NONE. Możesz wybrać więcej niż jeden standard zgodności. Przykład:

az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring

Korzystanie z programu PowerShell

Obszar roboczy można utworzyć z rozszerzonymi funkcjami zabezpieczeń i zgodności przy użyciu programu PowerShell. Możliwe standardy zgodności obejmują: HIPAA, , PCI_DSS, HITRUSTIRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, , CANADA_PROTECTED_Blub NONE. Możesz wybrać więcej niż jeden standard zgodności. Przykład:

New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")

Korzystanie z szablonu ARM

Możesz skonfigurować rozszerzone funkcje zabezpieczeń i zgodności za pomocą szablonu ARM udostępnianego przez Databricks. Zawiera dodatkowe parametry, które można ustawić na Enabled lub Disabled. Jeśli chcesz dodać je do istniejącego szablonu w celu zaktualizowania obszaru roboczego, możesz to zrobić. Funkcje można ustawić niezależnie, z wyjątkiem wskazanych:

• complianceSecurityProfile: włącza profil zabezpieczeń zgodności. Po włączeniu tej funkcji ta funkcja jest trwale włączona w obszarze roboczym.
• complianceStandards: konfiguruje tablicę standardów zgodności do użycia z profilem zabezpieczeń zgodności.
  • Jeśli element complianceSecurityProfile jest ustawiony na Disabled, przekaż pustą tablicę.
  • Jeśli complianceSecurityProfile jest ustawiona na Enabled, należy przekazać tablicę zawierającą jeden lub więcej ciągów znaków, które określają, jakie standardy zgodności chcesz stosować w swoim obszarze roboczym, jeśli są takie wymagane. Możliwe opcje to HIPAA, , PCI_DSS, HITRUSTIRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, , CANADA_PROTECTED_Blub NONE. Dodaj pojedynczy element tablicy NONE, jeśli używasz profilu zabezpieczeń zgodności tylko dla jego korzyści związanych z bezpieczeństwem, a nie do przetwarzania żadnych danych regulowanych.
• enhancedSecurityMonitoring — umożliwia ulepszone monitorowanie zabezpieczeń. Jeśli profil zabezpieczeń zgodności jest włączony, należy ustawić tę funkcję na Enabled jawnie w szablonie.
• automaticClusterUpdate — włącza automatyczną aktualizację klastra. Jeśli profil zabezpieczeń zgodności jest włączony, należy ustawić tę funkcję na Enabled jawnie w szablonie. Aby skonfigurować okno konserwacji i jego częstotliwość, zobacz Automatyczna aktualizacja klastra.

Aby zaktualizować obszar roboczy przy użyciu co najmniej jednej z tych funkcji, postępuj zgodnie z tymi samymi instrukcjami dotyczącymi wdrażania szablonu niestandardowego, co w przypadku tworzenia nowego obszaru roboczego przy użyciu szablonu. Sprawdź jednak, czy używasz oryginalnego szablonu, a następnie skopiuj pola z podanego przykładowego szablonu do istniejącego szablonu obszaru roboczego.

Szablon obszaru roboczego z rozszerzonymi funkcjami zabezpieczeń i zgodności

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": ["standard", "premium"],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
    "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
    "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
    "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HITRUST"],
        ["IRAP_PROTECTED"],
        ["UK_CYBER_ESSENTIALS_PLUS"],
        ["CANADA_PROTECTED_B"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

Korzystanie z narzędzia Terraform

Rozszerzone zabezpieczenia i zgodność można również włączyć w obszarze roboczym usługi Azure Databricks przy użyciu wtyczki azurerm Terraform dla usługi Databricks. Aby uzyskać więcej informacji na temat wtyczki azurerm Terraform, zobacz azurerm_databricks_workspace.

Aby na przykład utworzyć obszar roboczy usługi Azure Databricks z włączonymi mechanizmami kontroli zgodności, użyj następującego polecenia:

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "HITRUST", "IRAP_PROTECTED", "UK_CYBER_ESSENTIALS_PLUS", "CANADA_PROTECTED_B", "NONE"]
  enhanced_security_monitoring_enabled  = true
  }
}

Upewnij się, że profil zabezpieczeń zgodności jest włączony dla obszaru roboczego

Możesz potwierdzić, że obszar roboczy korzysta z profilu zabezpieczeń zgodności na karcie Zabezpieczenia i zgodność na stronie obszaru roboczego w konsoli konta.

Obszar roboczy również posiada logo tarczy wyświetlane w interfejsie użytkownika obszaru roboczego. Logo tarczy pojawia się w prawym górnym rogu strony, po prawej stronie nazwy obszaru roboczego. Kliknij nazwę obszaru roboczego, aby wyświetlić listę obszarów roboczych, do których masz dostęp. Obszary robocze, które umożliwiają profil zabezpieczeń zgodności, mają ikonę osłony.

Jeśli brakuje ikon tarczy dla obszaru roboczego z włączonym profilem zabezpieczeń zgodności, skontaktuj się z zespołem konta usługi Azure Databricks.