Profil de sécurité de conformité

  • Article

Cet article décrit le profil de sécurité de conformité et ses contrôles de conformité.

Vue d’ensemble du profil de sécurité de conformité

Le profil de sécurité de conformité permet une surveillance supplémentaire, une image de calcul renforcée, et d’autres fonctionnalités et contrôles sur les espaces de travail Azure Databricks. Le profil de sécurité de conformité comprend des contrôles qui permettent de répondre aux exigences de sécurité applicables de certaines normes de conformité. L’activation du profil de sécurité de conformité est requise pour utiliser Azure Databricks afin de traiter les données réglementées par la norme de conformité PCI-DSS et elle est recommandée pour traiter les données réglementées par la norme de conformité HIPAA.

Vous pouvez également choisir d’activer le profil de sécurité de conformité pour ses fonctionnalités de sécurité améliorées sans devoir vous conformer à une norme de conformité.

Important

  • Vous êtes seul responsable de votre propre conformité à la réglementation applicable.
  • Pour PCI-DSS, vous êtes seul responsable de la configuration du profil de sécurité et des normes de conformité appropriées avant de traiter des données réglementées. Pour le traitement des données médicales protégées (PHI, Protected Health Information), Databricks recommande fortement d’utiliser le profil de sécurité de conformité et de sélectionner la norme de conformité HIPAA.

Si vous activez cette fonctionnalité sur un espace de travail, vous êtes facturé pour le module complémentaire Sécurité et conformité renforcées, comme décrit dans la page de tarification.

Quelles ressources de calcul bénéficient d’une surveillance renforcée

Les améliorations du profil de sécurité de conformité s’appliquent aux ressources de calcul du plan de calcul classique dans toutes les régions.

Les améliorations du profil de sécurité de conformité pour HIPAA s’appliquent aux ressources de calcul dans le plan de calcul serverless pour toutes les régions.

Azure Databricks n’autorise pas le démarrage de ressources de calcul serverless quand PCI-DSS est activé.

Remarque

La plupart des types instance Azure sont pris en charge, mais les machines virtuelles de génération 2 (Gen2) et Arm64 ne sont pas prises en charge. Azure Databricks n’autorise pas le démarrage du calcul avec ces types d’instances quand le profil de sécurité de conformité est activé.

Fonctionnalités et contrôles techniques du profil de sécurité de conformité

Les améliorations de la sécurité incluent les éléments suivants :

  • Une image renforcée du système d’exploitation améliorée basée sur Ubuntu Advantage.

    Ubuntu Advantage est un package de sécurité d’entreprise et de prise en charge de l’infrastructure open source et d’applications qui inclut une image renforcée cis level 1.

  • La mise à jour automatique du cluster est automatiquement activée.

    Les clusters sont redémarrés pour obtenir les dernières mises à jour régulièrement pendant une fenêtre de maintenance que vous pouvez configurer. Consultez Mise à jour automatique de clusters.

  • La surveillance améliorée de la sécurisation est automatiquement activée.

    Les agents de surveillance de la sécurité génèrent des journaux que vous pouvez consulter. Pour plus d’informations sur les agents de surveillance, consultez Agents de surveillance dans les images de plan de calcul Azure Databricks.

  • Les communications au sein du cluster et pour la sortie utilisent le chiffrement TLS 1.2 ou version ultérieure, y compris la connexion au metastore.

Spécifications

  • Votre espace de travail Azure Databricks doit être au niveau Premium.

Étape 1 : Préparer un espace de travail pour le profil de sécurité de conformité

Suivez ces étapes quand vous créez un espace de travail avec le profil de sécurité activé ou quand vous l’activez sur un espace de travail existant.

  1. Si l’espace de travail est configuré pour restreindre l’accès réseau sortant, vous devez configurer votre réseau pour autoriser en plus le trafic vers le port 2443. Consultez Déployer Azure Databricks dans votre réseau virtuel Azure (injection de réseau virtuel).
  2. Exécutez les tests suivants pour vérifier que les modifications ont été appliquées correctement :
    1. Lancez un cluster Databricks avec un pilote, un worker, n’importe quelle version de DBR et tout type de instance pris en charge.
    2. Vérifiez que le cluster entre dans l’état En cours d’exécution.

Étape 2 : Activer le profil de sécurité de conformité sur un espace de travail

Remarque

L’Assistant Databricks est désactivé par défaut sur les espaces de travail où le profil de sécurité de conformité est activé. Les administrateurs d’espace de travail peuvent l’activer en suivant les instructions de Activer ou désactiver l’Assistant Databricks.

  1. Activer le profil de sécurité de conformité.

    Pour utiliser le portail Azure afin d’activer le profil de sécurité de conformité sur un espace de travail, consultez Utiliser le portail Azure pour activer des paramètres sur un nouvel espace de travail. Vous pouvez également utiliser un modèle ARM pour activer le profil de sécurité de conformité. Voir Utiliser un modèle ARM.

    Les mises à jour peuvent prendre jusqu’à six heures pour se propager à tous les environnements. Les charges de travail qui s’exécutent activement continuent avec les paramètres actifs au moment du démarrage de la ressource de calcul ; les nouveaux paramètres s’appliquent au démarrage suivant de ces charges de travail.

  2. Redémarrez tous les calculs en cours d’exécution.

Étape 3 : Vérifier que le profil de sécurité de conformité est activé pour un espace de travail

Pour confirmer qu’un espace de travail utilise le profil de sécurité de conformité, vérifiez que le logo de bouclier jaune est affiché dans l’interface utilisateur.

  • Un logo de bouclier apparaît en haut à droite de la page, à gauche du nom de l’espace de travail :

    Logo de l’offre (petit).

  • Cliquez sur le nom de l’espace de travail pour voir la liste des espaces de travail auxquels vous avez accès. Les espaces de travail qui activent le profil de sécurité de conformité ont une icône de bouclier suivie du texte « Profil de sécurité de conformité ».

    Logo de l’offre (grand).

Vous pouvez également vérifier qu’un espace de travail utilise le profil de sécurité de conformité sous l’onglet Sécurité et conformité de la page de l’espace de travail dans la console de compte.

Protégez le compte.

Si les icônes de bouclier sont manquantes pour un espace de travail avec le profil de sécurité de conformité activé, contactez l’équipe de votre compte Azure Databricks.