Supervisión de seguridad mejorada
En este artículo se describe la característica de supervisión de seguridad mejorada y cómo configurarla en el área de trabajo o cuenta de Azure Databricks.
Si habilita esta característica, se le cobrará por el complemento Seguridad y cumplimiento mejorados, tal como se describe en la página de precios .
Información general sobre la supervisión de seguridad mejorada
La supervisión de seguridad mejorada de Azure Databricks proporciona una imagen de disco protegida mejorada y agentes de supervisión de seguridad adicionales que generan filas de registro que puede revisar mediante registros de diagnóstico.
Las mejoras del perfil de seguridad de cumplimiento se aplican a los recursos de proceso en el plano de proceso clásico, como clústeres y almacenes SQL sin servidor.
Los recursos del plano de proceso sin servidor, como los almacenes SQL sin servidor, no tienen supervisión adicional cuando la supervisión de seguridad mejorada está habilitada.
Nota:
La mayoría de los tipos de instancia de Azure se admiten, pero no se admiten máquinas virtuales basadas en Arm64 y generación 2 (Gen2). Azure Databricks no permite iniciar el proceso con esos tipos de instancia cuando está habilitada la supervisión de seguridad mejorada.
La supervisión de seguridad mejorada incluye:
Imagen mejorada del sistema operativo protegida basada en Ubuntu Advantage.
Ubuntu Advantage es un paquete de seguridad empresarial y soporte técnico para infraestructura y aplicaciones de código abierto que incluye una imagen protegida de nivel 1 de CIS.
Agente de supervisión de antivirus que genera registros que puede revisar.
Agente de supervisión de integridad de archivos que genera registros que puede revisar.
Supervisión de agentes en imágenes de planos del proceso de Azure Databricks
Aunque la supervisión de seguridad mejorada está habilitada, hay agentes de supervisión de seguridad adicionales, incluidos dos agentes preinstalados en la imagen del plano de proceso mejorado. No se pueden deshabilitar los agentes de supervisión que se encuentran en la imagen de disco del plano del proceso mejorada.
| Agente de supervisión | Location | Descripción | Cómo obtener la salida |
|---|---|---|---|
| Supervisión de la integridad de los archivos | Imagen mejorada del plano del proceso | Supervisa las infracciones de integridad de los archivos y límites de seguridad. Este agente de supervisión se ejecuta en la máquina virtual de trabajo del clúster. | Habilite la tabla del sistema de registro de auditoría y revise los registros de nuevas filas. |
| Detección de antivirus y malware | Imagen mejorada del plano del proceso | Examina el sistema de archivos en busca de virus diariamente. Este agente de supervisión se ejecuta en las máquinas virtuales de los recursos de proceso, como clústeres y almacenes de SQL profesionales o clásicos. El agente de detección de antivirus y malware examina todo el sistema de archivos del sistema operativo host y el sistema de archivos de contenedor de Databricks Runtime. Cualquier cosa fuera de las máquinas virtuales del clúster está fuera de su ámbito de examen. | Habilite la tabla del sistema de registro de auditoría y revise los registros de nuevas filas. |
| Examen de vulnerabilidades | El examen se produce en imágenes representativas en los entornos de Azure Databricks. | Examina el host de contenedor (VM) para detectar determinadas vulnerabilidades conocidas y CVE. | Solicite informes de examen en la imagen a su equipo de cuentas de Azure Databricks. |
Para obtener las versiones más recientes de los agentes de supervisión, puede reiniciar los clústeres. Si el área de trabajo usa la actualización automática del clúster, los clústeres se reinician de forma predeterminada si es necesario durante las ventanas de mantenimiento programadas. Si el perfil de seguridad de cumplimiento está habilitado en un área de trabajo, la actualización automática del clúster está habilitada permanentemente en esa área de trabajo.
Supervisión de la integridad de los archivos
La imagen mejorada del plano de proceso incluye un servicio de supervisión de la integridad de los archivos que proporciona visibilidad en tiempo de ejecución y detección de amenazas para recursos de proceso (trabajos de clúster) en el plano de proceso clásico del área de trabajo.
La salida del monitor de integridad de archivos se genera dentro de los registros de auditoría, a los que puede acceder con tablas del sistema. Consulta Supervisar el uso con las tablas del sistema. Para obtener el esquema JSON para nuevos eventos auditables específicos de la supervisión de la integridad de los archivos, consulte Eventos de supervisión de la integridad de los archivos.
Importante
Es su responsabilidad revisar estos registros. Databricks puede, a su entera discreción, revisar estos registros, pero no se compromete a hacerlo. Si el agente detecta una actividad malintencionada, es su responsabilidad evaluar estos eventos y abrir una incidencia de soporte técnico con Databricks si la resolución o corrección requiere una acción por parte de Databricks. Databricks puede tomar medidas sobre la base de estos registros, incluida la suspensión o terminación de los recursos, pero no se compromete a hacerlo.
Detección de antivirus y malware
La imagen mejorada del plano de proceso incluye un motor antivirus para detectar troyanos, virus, malware y otras amenazas malintencionadas. El monitor antivirus examina todo el sistema de archivos del sistema operativo host y el sistema de archivos de contenedor de Databricks Runtime. Cualquier cosa fuera de las máquinas virtuales del clúster está fuera de su ámbito de examen.
La salida del monitor antivirus se genera dentro de los registros de auditoría, a los que puede acceder con tablas del sistema (versión preliminar pública). Para obtener el esquema JSON para nuevos eventos auditables específicos de la supervisión antivirus, consulte Eventos de supervisión de antivirus.
Cuando se compila una nueva imagen de máquina virtual, los archivos de firma actualizados se incluyen en ella.
Importante
Es su responsabilidad revisar estos registros. Databricks puede, a su entera discreción, revisar estos registros, pero no se compromete a hacerlo. Si el agente detecta una actividad malintencionada, es su responsabilidad evaluar estos eventos y abrir una incidencia de soporte técnico con Databricks si la resolución o corrección requiere una acción por parte de Databricks. Databricks puede tomar medidas sobre la base de estos registros, incluida la suspensión o terminación de los recursos, pero no se compromete a hacerlo.
Cuando se compila una nueva imagen de AMI, los archivos de firma actualizados se incluyen en la nueva imagen de AMI.
Examen de vulnerabilidades
Un agente de supervisión de vulnerabilidades realiza exámenes de vulnerabilidades del host de contenedor (VM) para determinados CVE conocidos. El examen se produce en imágenes representativas en los entornos de Azure Databricks. Puede solicitar los informes de examen de vulnerabilidades a su equipo de cuentas de Azure Databricks.
Cuando se encuentran vulnerabilidades con este agente, Databricks realiza un seguimiento de ellas en función de su Acuerdo de Nivel de Servicio de Administración de vulnerabilidades y publica una imagen actualizada cuando está disponible.
Administración y actualización de agentes de supervisión
Los agentes de supervisión adicionales que se encuentran en las imágenes de disco que se usan para los recursos de proceso del plano de proceso clásico forman parte del proceso estándar de Azure Databricks para actualizar sistemas:
- La imagen de disco base del plano de datos clásico (AMI) es propiedad Databricks, que también se encarga de administrarla y revisarla.
- Databricks ofrece y aplica revisiones de seguridad al publicar nuevas imágenes de disco AMI. La programación de entrega depende de la nueva funcionalidad y del Acuerdo de Nivel de Servicio para las vulnerabilidades detectadas. La entrega típica es cada dos a cuatro semanas.
- El sistema operativo base del plano de proceso es Ubuntu Advantage.
- Los clústeres de Azure Databricks y los almacenes de SQL clásicos o profesionales son efímeros de forma predeterminada. Tras el inicio, los clústeres y los almacenes de SQL profesionales o clásicos usan la imagen base más reciente disponible. Las versiones anteriores que pueden tener vulnerabilidades de seguridad no están disponibles para los nuevos clústeres.
- Es responsable de reiniciar los clústeres (mediante la interfaz de usuario o la API) con regularidad para asegurarse de que usan las imágenes de máquina virtual del host con revisiones más recientes.
Supervisión de la finalización del agente
Si se encuentra un agente de supervisión en la máquina virtual de trabajo que no se está ejecutando debido a un bloqueo u otra finalización, el sistema intentará reiniciar el agente.
Directiva de retención de datos para supervisar los datos del agente
Los registros de supervisión se envían a la tabla del sistema de registros de auditoría de su propio almacenamiento en su suscripción a Azure si configuró registros de diagnóstico. La retención, la ingesta y el análisis de estos registros son responsabilidad suya.
Databricks conserva los informes y registros de examen de vulnerabilidades durante al menos un año. Puede solicitar los informes de vulnerabilidades a su equipo de cuentas de Azure Databricks.
Habilitación de la supervisión de seguridad mejorada de Azure Databricks
- El área de trabajo de Azure Databricks debe estar en el nivel Premium o Enterprise.
Para habilitar la supervisión de seguridad mejorada en un área de trabajo, consulte Uso de Azure Portal para habilitar la configuración en una nueva área de trabajo.
Las actualizaciones pueden tardar hasta seis horas en propagarse a todos los entornos y a los sistemas de bajada, como la facturación. Las cargas de trabajo que se ejecutan activamente continúan con la configuración que estaba activa en el momento de iniciar el clúster u otro recurso de proceso, y la nueva configuración comenzará a aplicar la próxima vez que se inicien estas cargas de trabajo.