Megosztás a következőn keresztül:


Azure-beli biztonsági alapkonfiguráció az Azure Databrickshez

Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Databricksre. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és az Azure Databricksre vonatkozó kapcsolódó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.

Megjegyzés

Az Azure Databricksre nem alkalmazható funkciók ki lettek zárva. Az Azure Databricks teljes biztonsági alapkonfiguráció-leképezési fájljában megtekintheti, hogy az Azure Databricks hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét.

Biztonsági profil

A biztonsági profil összefoglalja az Azure Databricks nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Elemzés, tárolás
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az ügyféltartalmakat inaktív állapotban tárolja Igaz

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Databricks alapértelmezett üzembe helyezése egy teljes körűen felügyelt szolgáltatás az Azure-ban: minden adatsík-erőforrás, beleértve az összes fürthöz társított virtuális hálózatot is, egy zárolt erőforráscsoportban lesz üzembe helyezve. Ha azonban a hálózat testreszabására van szüksége, az Azure Databricks adatsík-erőforrásait a saját virtuális hálózatában (VNet-injektálás) helyezheti üzembe, így egyéni hálózati konfigurációkat valósíthat meg. Egyéni szabályokkal rendelkező saját hálózati biztonsági csoportot (NSG) alkalmazhat adott kimenő forgalomra.

Referencia: Databricks VNET-integráció

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.

Referencia: Hálózati biztonsági csoport

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Databricks-ügyfelek az IP-hozzáférési listák funkcióval meghatározhatják a jóváhagyott IP-címek készletét, hogy megakadályozzák a nyilvános IP-címekről vagy a nem jóváhagyott IP-címekről való hozzáférést.

Referencia: IP-hozzáférési lista a Databricksben

Identitáskezelés

További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Szolgáltatásjegyzetek: Az Azure Databricks automatikusan úgy van beállítva, hogy az Azure Active Directory (Azure AD) egyszeri bejelentkezést használjon a felhasználók hitelesítéséhez. A szervezeten kívüli felhasználóknak be kell fejezniük a meghívási folyamatot, és hozzá kell adni az Active Directory-bérlőhöz, mielőtt egyszeri bejelentkezéssel bejelentkezhetnek az Azure Databricksbe. Az SCIM implementálásával automatizálhatja a felhasználók kiépítését és megszüntetését a munkaterületekről.

Az Azure Databricks egyszeri bejelentkezésének ismertetése

ScIM API-k használata az Azure Databrickshez

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A felügyelt identitásokat nem támogató szolgáltatások esetén az Azure Active Directory (Azure AD) használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Konfigurálja a szolgáltatásneveket tanúsítványhitelesítő adatokkal, és térjen vissza az ügyfél titkos kulcsaihoz hitelesítés céljából.

Referencia: Szolgáltatásnév a Databricksben

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkció megjegyzései: Az Azure Databricks emellett támogatja az IP-hozzáférési listákat a webalkalmazás és a REST API biztonságosabbá tételéhez.

IP-hozzáférési listák a Databricksben

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Feltételes hozzáférés a Databricksben

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Az Azure Databricks támogatja az Azure Databricks által birtokolt és felügyelt titkosított adatbázisokban tárolt titkos kulcsok hatókörét is.

Databricks-alapú hatókörök

Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.

Referencia: Key Vault Integráció a Databricksben

Emelt szintű hozzáférés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciómegjegyzések: Az Azure Databricks SCIM API-kkal kezelheti az Azure Databricks-munkaterület felhasználóit, és rendszergazdai jogosultságokat adhat a kijelölt felhasználóknak.

Az SCIM API-k használata

Az Azure Databricksben hozzáférés-vezérlési listákkal (ACL-ekkel) konfigurálhatja a különböző munkaterület-objektumok elérésére vonatkozó engedélyeket.

Hozzáférés-vezérlés a Databricksben

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Hozzáférés-vezérlés kezelése az Azure Databricksben

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.

Referencia: Ügyfélszéf

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Alapértelmezés szerint a fürt munkavégző csomópontjai között kicserélt adatok nincsenek titkosítva. Ha a környezet megköveteli, hogy az adatok mindig titkosítva legyenek, létrehozhat egy init szkriptet, amely konfigurálja a fürtöket a munkavégző csomópontok közötti forgalom titkosítására.

Konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyekbe beépített natív adattitkosítási funkció van beépítve. A HTTPS kényszerítése minden webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.

Referencia: Adattovábbítás alatt lévő adatok titkosítása a Databrickshez

DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Inaktív adatok titkosítása platform által felügyelt kulcsokkal a Databricksben

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában

Funkciók

Inaktív adatok titkosítása a CMK használatával

Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Az Azure Databricks két, ügyfél által felügyelt kulcsfunkcióval rendelkezik a különböző típusú adatokhoz.

Ügyfél által felügyelt kulcsok titkosításhoz

Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.

Referencia: Inaktív adatok titkosítása CMK használatával a Databricksben

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault

Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Megjegyzés: Nem használhat Azure Databricks személyes hozzáférési jogkivonatot vagy Azure AD alkalmazásjogkivonatot, amely egy szolgáltatásnévhez tartozik.

Személyes hozzáférési jogkivonat elkerülése

Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.

Referencia: Kulcskezelés a Databricksben

Eszközkezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.

Referencia: Databricks Azure Policy

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A naplózáshoz az Azure Databricks átfogó, teljes körű diagnosztikai naplókat biztosít az Azure Databricks-felhasználók által végzett tevékenységekről, így a vállalat figyelheti a részletes Azure Databricks-használati mintákat.

Vegye figyelembe, hogy az Azure Databricks diagnosztikai naplóihoz az Azure Databricks Premium-csomag szükséges.

Diagnosztikai beállítások engedélyezése az Azure-tevékenységnaplóhoz

Diagnosztikai beállítások engedélyezése az Azure Databrickshez

Referencia: Erőforrásnaplók a Databricksben

Állapot- és biztonságirés-kezelés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Állapot- és biztonságirés-kezelés.

PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása

Funkciók

Egyéb útmutató a PV-3-hoz

Amikor létrehoz egy Azure Databricks-fürtöt, az alapszintű virtuálisgép-rendszerképeket hoz létre. A felhasználói kód a virtuális gépeken üzembe helyezett tárolókban fut. Implementáljon egy külső biztonságirés-kezelési megoldást. Ha rendelkezik biztonságirés-kezelési platform-előfizetéssel, használhatja az Azure Databricks inicializálási szkripteit, amelyek az egyes csomópontokon lévő tárolókban futnak, sebezhetőségi felmérési ügynököket telepíthet az Azure Databricks-fürtcsomópontokra, és kezelheti a csomópontokat a megfelelő portálon keresztül. Vegye figyelembe, hogy minden külső megoldás másként működik.

Databricks-fürtcsomópont inicializálási szkriptjei

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Az Azure Databricks-adatforrások esetében győződjön meg arról, hogy a használati esethez megfelelő szintű adatredundanciát konfigurált. Ha például Azure Storage-fiókot használ az Azure Databricks-adattárhoz, válassza a megfelelő redundancia lehetőséget (LRS, ZRS, GRS, RA-GRS).

Adatforrások az Azure Databrickshez

Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.

Referencia: Regionális vészhelyreállítás Azure Databricks-fürtökhöz

Következő lépések