Línea de referencia de seguridad de Azure para Azure Databricks
Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de La prueba comparativa de seguridad en la nube de Microsoft a Azure Databricks. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por la prueba comparativa de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Databricks.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Azure Databricks. Para ver cómo Azure Databricks se asigna por completo a la prueba comparativa de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de Azure Databricks.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Databricks, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Value |
|---|---|
| Categoría de productos | Analytics, Storage |
| El cliente puede acceder a HOST/OS. | Sin acceso |
| El servicio se puede implementar en la red virtual del cliente. | True |
| Almacena contenido de cliente en reposo | True |
Seguridad de red
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: la implementación predeterminada de Azure Databricks es un servicio totalmente administrado en Azure: todos los recursos del plano de datos, incluida una red virtual a la que se asociarán todos los clústeres, se implementan en un grupo de recursos bloqueado. Sin embargo, si necesita personalizar la red, puede implementar los recursos del plano de datos de Azure Databricks en su propia red virtual (también llamado inyección VNet), lo que le permitirá implementar configuraciones de red personalizadas. Puede aplicar su propio grupo de seguridad de red (NSG) con reglas personalizadas a restricciones de tráfico de salida específicas.
Referencia: Integración con red virtual de Databricks
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.
Referencia: Grupo de seguridad de red
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: los clientes de Azure Databricks pueden usar la característica de listas de acceso IP para definir un conjunto de direcciones IP aprobadas para evitar el acceso desde direcciones IP públicas o direcciones IP no aprobadas.
Referencia: lista de acceso IP en Databricks
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: Azure Databricks se configura automáticamente para usar el inicio de sesión único de Azure Active Directory (Azure AD) para autenticar a los usuarios. Los usuarios ajenos a la organización deben completar el proceso de invitación y se deben agregar al inquilino de Active Directory antes de que puedan iniciar sesión en Azure Databricks mediante el inicio de sesión único. Puede implementar SCIM para automatizar el aprovisionamiento y desaprovisionamiento de usuarios desde las áreas de trabajo.
Descripción del inicio de sesión único para Azure Databricks
Uso de las API de SCIM para Azure Databricks
Guía de configuración: esta característica no se admite para proteger este servicio.
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: para los servicios que no admiten identidades administradas, use Azure Active Directory (Azure AD) para crear una entidad de servicio con permisos restringidos en el nivel de recursos. Configure las entidades de servicio con credenciales de certificado y vuelva a los secretos de cliente para la autenticación.
Referencia: Entidad de servicio en Databricks
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Además, Azure Databricks admite listas de acceso IP para que el acceso a la aplicación web y la API REST sean más seguras.
Listas de acceso IP en Databricks
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Acceso condicional en Databricks
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure Databricks también admite un ámbito secreto almacenado en (respaldado por) una base de datos cifrada propiedad y administrada por Azure Databricks.
Ámbitos con respaldo de Databricks
Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.
Referencia: integración de Key Vault en Databricks
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: puede usar las API de SCIM de Azure Databricks para administrar usuarios en un área de trabajo de Azure Databricks y conceder privilegios administrativos a los usuarios designados.
En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a diferentes objetos del área de trabajo.
Control de acceso en Databricks
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Administración del control de acceso en Azure Databricks
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar cada una de las solicitudes de acceso a datos de Microsoft.
Referencia: Caja de seguridad del cliente
Protección de los datos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: de forma predeterminada, los datos intercambiados entre los nodos de trabajo de un clúster no se cifran. Si el entorno requiere que los datos se cifren en todo momento, puede crear un script de inicialización que configure los clústeres para cifrar el tráfico entre nodos de trabajo.
Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de Virtual Machines, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Referencia: Cifrado de datos en tránsito para Databricks
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido de cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado de datos en reposo mediante claves administradas por la plataforma en Databricks
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure Databricks tiene dos características clave administradas por el cliente para distintos tipos de datos.
Claves administradas por el cliente para procesos de cifrado
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito del servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.
Referencia: Cifrado de datos en reposo mediante CMK en Databricks
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Nota, no puede usar un token de acceso personal de Azure Databricks ni un token de aplicación de Azure AD que pertenezca a una entidad de servicio.
Evitar el token de acceso personal
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o un riesgo de clave. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos independiente (DEK) con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves están registradas con Azure Key Vault y a las que se hace referencia a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Referencia: Administración de claves en Databricks
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy efectos [deny] e [deploy if not exists] para aplicar la configuración segura en los recursos de Azure.
Referencia: Databricks Azure Policy
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: para el registro de auditoría, Azure Databricks proporciona registros completos de diagnóstico de un extremo a otro de las actividades realizadas por los usuarios de Azure Databricks, lo que permite a su empresa supervisar patrones de uso detallados de Azure Databricks.
Tenga en cuenta que los registros de diagnóstico de Azure Databricks requieren el plan Premium de Azure Databricks.
Habilitación de la configuración de diagnóstico para el registro de actividad de Azure
Habilitación de la configuración de diagnóstico para Azure Databricks
Referencia: Registros de recursos en Databricks
Posición y administración de vulnerabilidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Administración de posturas y vulnerabilidades.
PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso
Características
Otras instrucciones para PV-3
Al crear un clúster de Azure Databricks, pone en marcha imágenes de máquina virtual base. El código de usuario se ejecuta en contenedores que se implementan en las máquinas virtuales. implemente una solución de administración de vulnerabilidades de terceros. Si tiene una suscripción a una plataforma de administración de vulnerabilidades, puede usar scripts de inicialización de Azure Databricks, que se ejecutan en los contenedores de cada uno de los nodos, para instalar agentes de evaluación de vulnerabilidades en los nodos del clúster de Azure Databricks y administrar los nodos mediante el portal correspondiente. Tenga en cuenta que todas las soluciones de terceros funcionan de forma distinta.
Scripts de inicialización de nodos de clúster de Databricks
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Azure Backup
Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: para los orígenes de datos de Azure Databricks, asegúrese de que ha configurado un nivel adecuado de redundancia de datos para su caso de uso. Por ejemplo, si va a usar una cuenta de Azure Storage para el almacén de datos de Azure Databricks, elija la opción de redundancia adecuada (LRS,ZRS, GRS, RA-GRS).
Orígenes de datos de Azure Databricks
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Recuperación ante desastres regional para clústeres de Azure Databricks
Pasos siguientes
- Consulte la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.