Bagikan melalui


Garis besar keamanan Azure untuk Azure Databricks

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Databricks. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Databricks.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Azure Databricks telah dikecualikan. Untuk melihat bagaimana Azure Databricks sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Databricks lengkap.

Profil keamanan

Profil keamanan meringkas perilaku berdampak tinggi dari Azure Databricks, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk Analitik, Penyimpanan
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan True
Menyimpan konten pelanggan saat tidak aktif True

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Jaringan Virtual

Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Penyebaran default Azure Databricks adalah layanan yang dikelola sepenuhnya di Azure: semua sumber daya sarana data, termasuk VNet yang akan dikaitkan dengan semua kluster, disebarkan ke grup sumber daya terkunci. Namun, jika Anda memerlukan penyesuaian jaringan, Anda dapat menyebarkan sumber daya bidang data Azure Databricks di jaringan virtual Anda sendiri (injeksi VNet), memungkinkan Anda menerapkan konfigurasi jaringan kustom. Anda dapat menerapkan kelompok keamanan jaringan (NSG) Anda sendiri dengan aturan khusus untuk pembatasan lalu lintas keluar tertentu.

Referensi: Integrasi VNET Databricks

Dukungan Kelompok Keamanan Jaringan

Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.

Referensi: Kelompok Keamanan Jaringan

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Pelanggan Azure Databricks dapat menggunakan fitur daftar akses IP untuk menentukan sekumpulan alamat IP yang disetujui untuk mencegah akses dari IP publik atau alamat IP yang tidak disetujui.

Referensi: Daftar Akses IP di Databricks

Manajemen identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure AD Diperlukan untuk Akses Sarana Data

Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
Salah Tidak berlaku Tidak berlaku

Catatan fitur: Azure Databricks secara otomatis disiapkan untuk menggunakan akses menyeluruh Azure Active Directory (Azure AD) untuk mengautentikasi pengguna. Pengguna di luar organisasi Anda harus menyelesaikan proses undangan dan ditambahkan ke penyewa Active Directory Anda sebelum mereka dapat masuk ke Azure Databricks melalui akses menyeluruh. Anda dapat menerapkan SCIM untuk mengotomatiskan provisi dan deprovisi pengguna dari ruang kerja.

Memahami akses menyeluruh untuk Azure Databricks

Cara menggunakan API SCIM untuk Azure Databricks

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Perwakilan Layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Untuk layanan yang tidak mendukung identitas terkelola, gunakan Azure Active Directory (Azure AD) untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Konfigurasikan perwakilan layanan dengan kredensial sertifikat dan kembali ke rahasia klien untuk autentikasi.

Referensi: Perwakilan layanan di Databricks

IM-7: Membatasi akses sumber daya berdasarkan kondisi

Fitur

Akses Bersyarah untuk Data Plane

Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Catatan fitur: Selain itu, Azure Databricks mendukung daftar akses IP untuk membuat akses aplikasi web dan REST API lebih aman.

Daftar akses IP di Databricks

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Akses Bersyarah di Databricks

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Catatan fitur: Azure Databricks juga mendukung cakupan rahasia yang disimpan dalam (didukung oleh) database terenkripsi yang dimiliki dan dikelola oleh Azure Databricks.

Cakupan yang didukung Databricks

Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.

Referensi: Integrasi Key Vault di Databricks

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Catatan fitur: Anda dapat menggunakan API SCIM Azure Databricks untuk mengelola pengguna di ruang kerja Azure Databricks dan memberikan hak istimewa administratif kepada pengguna yang ditunjuk.

Cara menggunakan API SCIM

Di Azure Databricks, Anda dapat menggunakan daftar kontrol akses (ACL) untuk mengonfigurasi izin untuk mengakses objek ruang kerja yang berbeda.

Kontrol akses di Databricks

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Cara mengelola kontrol akses di Azure Databricks

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.

Referensi: Customer Lockbox

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Catatan fitur: Secara default, data yang dipertukarkan antara simpul pekerja dalam kluster tidak dienkripsi. Jika lingkungan Anda mengharuskan data dienkripsi setiap saat, Anda dapat membuat skrip init yang mengonfigurasi kluster Anda untuk mengenkripsi lalu lintas antar simpul pekerja.

Panduan Konfigurasi: Aktifkan transfer aman dalam layanan di mana ada data asli dalam fitur enkripsi transit bawaan. Terapkan HTTPS pada aplikasi dan layanan web apa pun dan pastikan TLS v1.2 atau yang lebih baru digunakan. Versi warisan seperti SSL 3.0, TLS v1.0 harus dinonaktifkan. Untuk manajemen jarak jauh Virtual Machines, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi.

Referensi: Data dalam transit Enkripsi untuk Databricks

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Enkripsi data tidak aktif menggunakan kunci yang dikelola platform di Databricks

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Catatan fitur: Azure Databricks memiliki dua fitur utama yang dikelola pelanggan untuk berbagai jenis data.

Kunci yang dikelola pelanggan untuk enkripsi

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Referensi: Data saat Tidak Aktif Enkripsi Menggunakan CMK di Databricks

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Catatan fitur: Catatan, Anda tidak dapat menggunakan token akses pribadi Azure Databricks atau token aplikasi Azure AD milik perwakilan layanan.

Hindari token akses pribadi

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.

Referensi: Manajemen kunci di Databricks

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.

Referensi: Databricks Azure Policy

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Penawaran Layanan / Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Untuk pengelogan audit, Azure Databricks menyediakan log diagnostik aktivitas end-to-end yang komprehensif yang dilakukan oleh pengguna Azure Databricks, memungkinkan perusahaan Anda memantau pola penggunaan Azure Databricks terperinci.

Catatan: bahwa log diagnostik Azure Databricks memerlukan Paket Premium Azure Databricks.

Cara mengaktifkan Pengaturan Diagnostik untuk Log Aktivitas Azure

Cara mengaktifkan Pengaturan Diagnostik untuk Azure Databricks

Referensi: Log sumber daya di Databricks

Manajemen postur dan kerentanan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen postur dan kerentanan.

PV-3: Menetapkan dan membangun konfigurasi yang aman untuk sumber daya komputasi

Fitur

Panduan lain untuk PV-3

Saat Anda membuat kluster Azure Databricks, kluster ini memutar gambar VM dasar. Kode pengguna dijalankan dalam kontainer yang digunakan pada VM. Terapkan solusi pengelolaan kerentanan pihak ketiga. Jika memiliki langganan platform pengelolaan kerentanan, Anda dapat menggunakan skrip inisialisasi Azure Databricks, yang berjalan di kontainer di masing-masing node, untuk menginstal agen penilaian kerentanan di node kluster Azure Databricks Anda, dan mengelola node melalui portal masing-masing. Perhatikan bahwa setiap solusi pihak ketiga bekerja secara berbeda.

Skrip inisialisasi node kluster Databricks

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Untuk sumber data Azure Databricks Anda, pastikan Anda telah mengonfigurasi tingkat redundansi data yang sesuai untuk kasus penggunaan Anda. Misalnya, jika menggunakan akun Azure Storage untuk penyimpanan data Azure Databricks Anda, pilih opsi redundansi yang sesuai (LRS, ZRS, GRS, RA-GRS).

Sumber data untuk Azure Databricks

Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.

Referensi: Pemulihan bencana regional untuk kluster Azure Databricks

Langkah berikutnya