Azure-Sicherheitsbaseline für Azure Databricks
Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Azure Databricks an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark und den zugehörigen Richtlinien für Azure Databricks definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für Azure Databricks gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von Azure Databricks zum Microsoft Cloud Security Benchmark finden Sie in der vollständigen Zuordnungsdatei für die Azure Databricks-Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Databricks mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Analyse, Speicher |
| Der Kunde kann auf HOST/OS zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert kundenbezogene Inhalte im Ruhezustand | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Die Standardbereitstellung von Azure Databricks ist ein vollständig verwalteter Dienst in Azure: Alle Datenebenenressourcen, einschließlich eines VNET, dem alle Cluster zugeordnet sind, werden in einer gesperrten Ressourcengruppe bereitgestellt. Sollten Sie eine Netzwerkanpassung benötigen, können Sie die Datenebenenressourcen von Azure Databricks in Ihrem eigenen virtuellen Netzwerk bereitstellen (VNET-Einschleusung) und so benutzerdefinierte Netzwerkkonfigurationen implementieren. Sie können Ihre eigene Netzwerksicherheitsgruppe (NSG) mit benutzerdefinierten Regeln anwenden, um spezifische Einschränkungen für ausgehenden Datenverkehr zu erreichen.
Referenz: Databricks-VNET-Integration
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Referenz: Netzwerksicherheitsgruppe
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Azure Databricks-Kunden können das Feature IP-Zugriffslisten verwenden, um einen Satz genehmigter IP-Adressen zu definieren, um den Zugriff über öffentliche IP-Adressen oder nicht genehmigte IP-Adressen zu verhindern.
Referenz: IP-Zugriffsliste in Databricks
Identitätsverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure Databricks ist automatisch so eingerichtet, dass das einmalige Anmelden von Azure Active Directory (Azure AD) zum Authentifizieren von Benutzern verwendet wird. Benutzer außerhalb Ihrer Organisation müssen den Einladungsprozess durchlaufen und Ihrem Active Directory-Mandanten hinzugefügt werden, um sich über das einmalige Anmelden bei Azure Databricks anmelden zu können. Sie können SCIM implementieren, um die Benutzerbereitstellung und die Aufhebung der Benutzerbereitstellung für Arbeitsbereiche zu automatisieren.
Einrichten des einmaligen Anmeldens
Verwenden der SCIM-APIs für Azure Databricks
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Für Dienste, die verwaltete Identitäten nicht unterstützen, verwenden Sie Azure Active Directory (Azure AD), um einen Dienstprinzipal mit eingeschränkten Berechtigungen auf Ressourcenebene zu erstellen. Konfigurieren Sie Dienstprinzipale mit Zertifikatanmeldeinformationen, und greifen Sie für die Authentifizierung auf geheime Clientschlüssel zurück.
Referenz: Dienstprinzipal in Databricks
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Darüber hinaus unterstützt Azure Databricks IP-Zugriffslisten, um den Zugriff auf die Webanwendung und die REST-API sicherer zu machen.
IP-Zugriffslisten in Databricks
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Bedingter Zugriff in Databricks
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Azure Databricks unterstützt auch einen Geheimnisbereich, der in einer verschlüsselten Datenbank im Besitz von Azure Databricks gespeichert (gesichert) ist und von dieser verwaltet wird.
Von Databricks unterstützte Bereiche
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Referenz: Key Vault Integration in Databricks
Privilegierter Zugriff
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Sie können Azure Databricks SCIM-APIs verwenden, um Benutzer in einem Azure Databricks-Arbeitsbereich zu verwalten und bestimmten Benutzern Administratorrechte zu gewähren.
In Azure Databricks können Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Berechtigung für den Zugriff auf verschiedene Arbeitsbereichsobjekte zu konfigurieren.
Zugriffssteuerung in Databricks
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Verwalten der Zugriffssteuerung in Azure Databricks
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.
Referenz: Kunden-Lockbox
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Standardmäßig sind die zwischen Workerknoten in einem Cluster ausgetauschten Daten nicht verschlüsselt. Wenn Ihre Umgebung erfordert, dass Daten jederzeit verschlüsselt werden, können Sie ein Initialisierungsskript erstellen, das Ihre Cluster so konfiguriert, dass datenverkehr zwischen Workerknoten verschlüsselt wird.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine native Datenverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Daten in der Transitverschlüsselung für Databricks
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Verschlüsselung ruhender Daten mit plattformseitig verwalteten Schlüsseln in Databricks
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Azure Databricks verfügt über zwei kundenseitig verwaltete Schlüsselfeatures für verschiedene Datentypen.
Verwenden der vom Kunden verwalteten Schlüssel für die Verschlüsselung
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Referenz: Verschlüsselung ruhender Daten mithilfe von CMK in Databricks
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Hinweis: Sie können kein persönliches Azure Databricks-Zugriffstoken oder ein Azure AD-Anwendungstoken verwenden, das zu einem Dienstprinzipal gehört.
Vermeiden von persönlichem Zugriffstoken
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Referenz: Schlüsselverwaltung in Databricks
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Databricks Azure Policy
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Für die Überwachungsprotokollierung bietet Azure Databricks umfassende End-to-End-Diagnoseprotokolle von Aktivitäten, die von Azure Databricks-Benutzern ausgeführt werden, sodass Ihr Unternehmen detaillierte Azure Databricks-Nutzungsmuster überwachen kann.
Hinweis: Azure Databricks-Diagnoseprotokolle erfordern den Azure Databricks Premium-Plan.
Erfassen und Analysieren des Azure-Aktivitätsprotokolls in Azure Monitor
Diagnoseprotokollierung in Azure Databricks
Referenz: Ressourcenprotokolle in Databricks
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Haltungs- und Sicherheitsrisikoverwaltung.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Features
Weitere Anleitungen für PV-3
Wenn Sie einen Azure Databricks-Cluster erstellen, werden basisbasierte VM-Images gestartet. Benutzercode wird in Containern ausgeführt, die auf den VMs bereitgestellt werden. Implementieren Sie eine Drittanbieterlösung zur Verwaltung von Sicherheitsrisiken. Wenn Sie über ein Abonnement für eine Plattform zur Verwaltung von Sicherheitsrisiken verfügen, können Sie Azure Databricks-Initialisierungsskripts verwenden, die in den Containern auf den einzelnen Knoten ausgeführt werden, um Agents zur Sicherheitsrisikobewertung auf Ihren Azure Databricks-Clusterknoten zu installieren, und die Knoten über das entsprechende Portal verwalten. Beachten Sie, dass jede Drittanbieterlösung anders funktioniert.
Initialisierungsskripts für Databricks-Clusterknoten
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Service Native Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Stellen Sie für Ihre Azure Databricks-Datenquellen sicher, dass Sie ein angemessenes Maß an Datenredundanz für Ihren Anwendungsfall konfiguriert haben. Wenn Sie also beispielsweise ein Azure Storage-Konto für Ihren Azure Databricks-Datenspeicher verwenden, wählen Sie die passende Redundanzoption (LRS, ZRS, GRS, RA-GRS) aus.
Datenquellen für Azure Databricks
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Regionale Notfallwiederherstellung für Azure Databricks-Cluster
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.