本页介绍符合性安全配置文件、其符合性控制和支持的功能。 若要启用合规性安全配置文件,请参阅配置增强的安全性和合规性设置。
合规性安全配置文件概述
合规性安全配置文件为 Azure Databricks 工作区提供了额外的监控、强化的计算镜像,以及其他功能和控制措施。 合规性安全配置文件包括有助于满足一些合规性标准的适用安全要求的控件。
合规性安全配置文件需要使用 Azure Databricks 来处理受以下限制的数据:
强烈建议使用合规性安全配置文件来处理根据公共预览合规性标准监管的数据。 这些工作负荷在正式发布后,将需要符合性安全配置文件。
Databricks 还强烈建议启用合规性安全配置文件以在 HIPAA 下处理数据,但这不是必需的。
您还可以选择启用符合性安全配置文件,以增强其安全功能,而无需遵循特定的符合性标准。
Important
- 你全权负责确保自己遵守所有适用的法律和法规。
- 对于 HIPAA 以外的合规性,你只负责确保在处理受管制数据之前配置符合性安全配置文件和适当的符合性标准。 对于 PHI 数据的处理,Databricks 强烈建议使用合规性安全配置文件并选择 HIPAA 合规性标准。
- 你只负责验证客户定义的输入字段中是否从未输入敏感信息,例如工作区名称、计算资源名称、标记、作业名称、作业运行名称、网络名称、凭据名称、存储帐户名称和 Git 存储库 ID 或 URL。 这些字段可能在符合性边界之外存储、处理或访问。
如果在任何工作区启用此功能,则需按照定价页上的说明为增强的安全性和合规性加载项付费。
合规性安全配置文件安全增强功能
安全性增强功能包括:
CIS 级别 1 强化映像。
自动群集更新,通过在可配置的维护时段定期重启群集,确保群集具有最新的更新。 请参阅自动群集更新。
增强的安全监视,其中包括生成可查看日志的监视代理。 请参阅 Azure Databricks 计算平面映像中的监视代理。
群集中的通信和出口使用 TLS 1.2 或更高版本,包括与元存储的通信。
按区域提供的经典和无服务器计算支持
合规性安全配置文件确定在经典计算平面和无服务器计算平面中为计算资源强制执行哪些符合性标准。
经典计算资源支持跨区域的各种合规性标准。 无服务器计算资源(无服务器 SQL 仓库、笔记本和工作流的无服务器计算,以及无服务器 Lakeflow Spark 声明性管道)的支持更加有限,具体取决于符合性标准和区域。
下表列出了每个计算平面和相应的支持区域支持哪些符合性标准:
| 合规标准 | 经典计算平面支持 | 无服务器计算平台的支持 |
|---|---|---|
| C5 | germanywestcentral |
None |
| CCCS 中等(保护级别B) |
canadacentral、canadaeast |
None |
| HIPAA | 所有区域 | 具有无服务器的所有区域 |
| HITRUST | 所有区域 | None |
| IRAP |
australiacentral、australiacentral2、australiaeast、australiasoutheast |
None |
| K-FSI | koreacentral |
None |
| PCI-DSS | 除switzerlandwest之外的所有区域 |
australia-east |
| TISAX | germanywestcentral |
None |
| 英国 Cyber Essentials Plus |
ukwest、uksouth |
None |
有关计算平面体系结构的详细信息,请参阅 高级体系结构。
支持的预览功能
对于启用了符合性安全配置文件的工作区,仅支持本节中列出的预览和 beta 功能。 不支持所有其他预览版或 beta 版功能。
下表列出了所有受支持的预览版和 beta 版功能:
- 大多数功能在启用合规性安全配置文件时适用于所有合规性标准。
- 特定符合性标准(如“仅限 HIPAA”)标记的功能,仅在配置了该符合性标准的工作区中支持。
- 标记为“无服务器”的功能仅在无服务器计算平面上可用。 请参阅 经典计算和无服务器计算支持(按区域)。
| 功能 / 特点 | 状态 | 计算 | 注释 |
|---|---|---|---|
| 工作区级的 SCIM 预配 | 公共预览版 | 标准 | 遗留功能。 请参阅帐户级和工作区级 SCIM 预配。 |
| 环境变量中的机密路径 | 公共预览版 | 标准 | |
| 公共预览版中的系统表 | 公共预览版 | 标准 | |
| Unity 目录中的用户定义函数 | 公共预览版 | 标准 | |
| Git 文件夹中的仪表板 | 公共预览版 | 标准 | |
| 计算日志传输到卷 | 公共预览版 | 标准 | |
| 文件事件支持自动加载程序 | 公共预览版 | 标准 | |
| Databricks 应用的用户授权 | 公共预览版 | 标准 | |
| 访问 Unity 目录中的请求 | 公共预览版 | 标准 | |
| 受治理的标记 | 公共预览版 | 标准 | |
| 自带数据世系 | 公共预览版 | 标准 | |
| 数据分类 | 公共预览版 | 标准 | |
ai_parse_document 函数 |
公共预览版 | 标准 | |
| 基于 Unity 目录属性的访问控制 (ABAC) | 公共预览版 | 标准 | |
| Databricks One | 公共预览版 | 标准 | |
| Databricks SQL 警报 | 公共预览版 | 标准 | |
| 数据管理中心 | 私人预览 | 标准 | |
| 用于无服务器计算笔记本任务的高内存 | 公共预览版 | Serverless | |
| 无服务器预测 | 公共预览版 | Serverless | |
| 无服务器工作区 | 公共预览版 | Serverless | |
| 异常情况检测 | Beta | Serverless | |
| 无服务器预测 Python SDK | 私人预览 | Serverless | |
| 使用 ai_query 进行 LLM 批量推理 | 公共预览版 | 标准 | 仅 HIPAA |
| ai_forecast() | 公共预览版 | 标准 | 仅 HIPAA |
| Genie 对话 API | 公共预览版 | 标准 | 仅 HIPAA |
| Databricks 托管 MCP 服务器 | Beta | Serverless | |
| 外部 MCP 服务器 | Beta | Serverless |