Fokozott biztonsági monitorozás
Ez a cikk ismerteti a fokozott biztonságfigyelési funkciót, és azt, hogyan konfigurálható az Azure Databricks-munkaterületen vagy -fiókban.
Ha engedélyezi ezt a funkciót, a díjszabási oldalon ismertetett fokozott biztonság és megfelelőség bővítményért kell fizetnie.
Továbbfejlesztett biztonsági monitorozás áttekintése
Az Azure Databricks továbbfejlesztett biztonsági monitorozása továbbfejlesztett megerősített lemezképet és további biztonsági figyelési ügynököket biztosít, amelyek naplósorokat hoznak létre, amelyeket diagnosztikai naplók használatával tekinthet át.
A biztonsági fejlesztések csak a klasszikus számítási síkban lévő számítási erőforrásokra vonatkoznak, például fürtökre és nem kiszolgáló nélküli SQL-raktárakra.
A kiszolgáló nélküli számításisík-erőforrások, például a kiszolgáló nélküli SQL-raktárak nem rendelkeznek további figyeléssel, ha engedélyezve van a fokozott biztonsági monitorozás.
Feljegyzés
A legtöbb Azure-példánytípus támogatott, de a 2. generációs (Gen2) és az Arm64-alapú virtuális gépek nem támogatottak. Az Azure Databricks nem teszi lehetővé a számítás indítását ezekkel a példánytípusokkal, ha engedélyezve van a fokozott biztonsági monitorozás.
A fokozott biztonsági monitorozás a következőket tartalmazza:
Továbbfejlesztett megerősített operációsrendszer-rendszerkép az Ubuntu Advantage alapján.
Az Ubuntu Advantage egy vállalati biztonsági és támogatási csomag nyílt forráskód infrastruktúrához és alkalmazásokhoz, amelyek a CIS 1. szintű edzett rendszerképét tartalmazzák.
Víruskereső monitorozási ügynök, amely naplókat hoz létre, amelyeket áttekinthet.
Fájlintegritási figyelő ügynök, amely áttekinthető naplókat hoz létre.
Ügynökök monitorozása az Azure Databricks számításisík-rendszerképeiben
Bár a fokozott biztonságfigyelés engedélyezve van, további biztonsági figyelési ügynökök is rendelkezésre állnak, köztük két ügynök, amelyek előre telepítve vannak a bővített számításisík-rendszerképben. A bővített számításisík lemezképén lévő figyelési ügynökök nem tilthatók le.
| Monitorozási ügynök | Hely | Leírás | Kimenet lekérése |
|---|---|---|---|
| Fájlintegritás monitorozása | Továbbfejlesztett számításisík-rendszerkép | Figyeli a fájlintegritást és a biztonsági határok megsértését. Ez a figyelőügynök a fürt feldolgozó virtuális gépén fut. | Engedélyezze a naplórendszer táblát , és tekintse át az új sorok naplóit. |
| Víruskereső és kártevőészlelés | Továbbfejlesztett számításisík-rendszerkép | Naponta ellenőrzi a fájlrendszerben a vírusokat. Ez a figyelőügynök a számítási erőforrásokban lévő virtuális gépeken fut, például fürtökön és profi vagy klasszikus SQL-raktárakban. A víruskereső és kártevő-észlelési ügynök megvizsgálja a teljes gazdagép operációsrendszer-fájlrendszerét és a Databricks Runtime tároló fájlrendszerét. A fürt virtuális gépeien kívül minden a vizsgálati hatókörén kívül esik. | Engedélyezze a naplórendszer táblát , és tekintse át az új sorok naplóit. |
| Biztonsági rések vizsgálata | A vizsgálat reprezentatív képeken történik az Azure Databricks-környezetekben. | Megvizsgálja a tároló gazdagépét (VM) bizonyos ismert biztonsági rések és gyakori biztonsági rések és kitettségek (CVE-k) után. | E-mailben elküldve az Azure Databricks-munkaterület rendszergazdáinak. |
A figyelési ügynökök legújabb verzióinak beszerzéséhez újraindíthatja a fürtöket. Ha a munkaterület automatikus fürtfrissítést használ, alapértelmezés szerint a fürtök szükség esetén újraindulnak az ütemezett karbantartási időszakokban. Ha a megfelelőségi biztonsági profil engedélyezve van egy munkaterületen, az automatikus fürtfrissítés véglegesen engedélyezve lesz ezen a munkaterületen.
Fájlintegritás monitorozása
A továbbfejlesztett számítási sík képe tartalmaz egy fájlintegritási monitorozási szolgáltatást, amely futásidejű láthatóságot és fenyegetésészlelést biztosít a számítási erőforrások (fürtmunkások) számára a munkaterület klasszikus számítási síkjában.
A fájlintegritási figyelő kimenete az auditnaplókban jön létre, amelyeket rendszertáblákkal érhet el. Lásd: Használat monitorozása rendszertáblákkal. A fájlintegritási monitorozásra vonatkozó új naplózható események JSON-sémájához lásd a fájlintegritási monitorozási eseményeket.
Fontos
Az Ön felelőssége, hogy áttekintse ezeket a naplókat. A Databricks saját belátása szerint áttekintheti ezeket a naplókat, de nem vállal kötelezettséget erre. Ha az ügynök rosszindulatú tevékenységet észlel, az Ön felelőssége az események osztályozása és támogatási jegy megnyitása a Databricksnél, ha a megoldáshoz vagy a szervizeléshez a Databricks beavatkozása szükséges. A Databricks ezen naplók alapján műveletet hajthat végre, beleértve az erőforrások felfüggesztését vagy megszüntetését, de nem vállal kötelezettséget erre.
Víruskereső és kártevőészlelés
A továbbfejlesztett számításisík-rendszerkép tartalmaz egy víruskereső motort a trójaiak, vírusok, kártevők és egyéb rosszindulatú fenyegetések észleléséhez. A víruskereső monitor megvizsgálja a teljes gazda operációsrendszer-fájlrendszert és a Databricks Runtime tároló fájlrendszert. A fürt virtuális gépeien kívül minden a vizsgálati hatókörén kívül esik.
A víruskereső monitor kimenete az auditnaplókban jön létre, amelyeket rendszertáblákkal (nyilvános előzetes verzió) érhet el. A víruskereső monitorozására vonatkozó új naplózható események JSON-sémájához lásd a víruskereső monitorozási eseményeit.
Új virtuálisgép-rendszerkép létrehozásakor a rendszer frissített aláírásfájlokat tartalmaz.
Fontos
Az Ön felelőssége, hogy áttekintse ezeket a naplókat. A Databricks saját belátása szerint áttekintheti ezeket a naplókat, de nem vállal kötelezettséget erre. Ha az ügynök rosszindulatú tevékenységet észlel, az Ön felelőssége az események osztályozása és támogatási jegy megnyitása a Databricksnél, ha a megoldáshoz vagy a szervizeléshez a Databricks beavatkozása szükséges. A Databricks ezen naplók alapján műveletet hajthat végre, beleértve az erőforrások felfüggesztését vagy megszüntetését, de nem vállal kötelezettséget erre.
Új AMI-rendszerkép létrehozásakor az új AMI-rendszerkép tartalmazza a frissített aláírási fájlokat.
Biztonsági rések vizsgálata
A biztonságirés-figyelő ügynök biztonságirés-vizsgálatot végez a tároló gazdagépén (VM) bizonyos ismert CVE-k esetében. A vizsgálat reprezentatív képeken történik az Azure Databricks-környezetekben. A biztonságirés-ellenőrzési jelentések e-mailben lesznek elküldve az összes munkaterület-rendszergazdának, amikor az Azure Databricks új AMI lemezképeket ad ki.
Ha ezzel az ügynökkel biztonsági réseket talál, a Databricks nyomon követi azokat a Biztonságirés-kezelési SLA-ján, és egy frissített rendszerképet ad ki, ha elérhető.
Figyelési ügynökök kezelése és frissítése
A klasszikus számítási síkban a számítási erőforrásokhoz használt lemezképeken található további figyelési ügynökök a rendszerek frissítéséhez használt standard Azure Databricks-folyamat részét képezik:
- A klasszikus számítási sík alaplemezképét (AMI) a Databricks birtokolja, felügyeli és javítja.
- A Databricks új AMI lemezképek kiadásával biztonsági javításokat biztosít és alkalmaz. A kézbesítés ütemezése az új funkcióktól és a felderített biztonsági rések SLA-jától függ. A kézbesítés általában két-négy hetente történik.
- A számítási sík alap operációs rendszere az Ubuntu Advantage.
- Az Azure Databricks-fürtök és a pro- vagy klasszikus SQL-tárolók alapértelmezés szerint rövid élettartamúak. Indításkor a fürtök és a profi vagy klasszikus SQL-raktárak a legújabb elérhető alaprendszerképet használják. A biztonsági résekkel rendelkező régebbi verziók nem érhetők el az új fürtök esetében.
- Önnek kell rendszeresen újraindítania a fürtöket (a felhasználói felületet vagy az API-t használva), hogy azok a legújabb javított gazdagép virtuálisgép-rendszerképeit használják.
Ügynök leállítása monitorozása
Ha a feldolgozó virtuális gépen található monitorügynök összeomlás vagy egyéb leállás miatt nem fut, a rendszer megpróbálja újraindítani az ügynököt.
Adatmegőrzési szabályzat ügynökadatok figyelésére
Ha diagnosztikai naplókat konfigurált , a rendszer elküldi a figyelési naplókat az Azure-előfizetés saját tárolójába a naplórendszer táblájába. A naplók megőrzése, betöltése és elemzése az Ön feladata.
A databricks legalább egy évig megőrzi a biztonságirés-ellenőrzési jelentéseket és naplókat.
Az Azure Databricks fokozott biztonsági monitorozásának engedélyezése
- Az Azure Databricks-munkaterületnek a Prémium csomagban kell lennie.
Ha engedélyezni szeretné a fokozott biztonsági monitorozást egy munkaterületen, olvassa el az Új munkaterület beállításainak engedélyezéséhez az Azure Portal használatával című témakört.
A frissítések propagálása az összes környezetbe és az alárendelt rendszerekbe, például a számlázásba akár hat órát is igénybe vehet. Az aktívan futó számítási feladatok a fürt vagy más számítási erőforrás indításakor aktív beállításokkal folytatódnak, és a számítási feladatok következő indításakor új beállítások lépnek érvénybe.