Condividi tramite

Profilo di sicurezza della conformità

  • Articolo

Questo articolo descrive il profilo di sicurezza della conformità e i relativi controlli di conformità.

Informazioni generali sul profilo di sicurezza della conformità

Il profilo di sicurezza della conformità consente un monitoraggio aggiuntivo, un'immagine di calcolo con protezione avanzata e altre funzionalità e controlli nelle aree di lavoro di Azure Databricks. Il profilo di sicurezza della conformità include controlli che consentono di soddisfare i requisiti di sicurezza applicabili di alcuni standard di conformità. L'abilitazione del profilo di sicurezza della conformità è necessaria per usare Azure Databricks per elaborare i dati regolamentati in conformità PCI-DSS ed è consigliabile elaborare i dati regolamentati in conformità HIPAA.

È anche possibile scegliere di abilitare il profilo di sicurezza della conformità per le funzionalità di sicurezza avanzate senza la necessità di conformarsi a uno standard di conformità.

Importante

  • L'utente è totalmente responsabile di garantire la propria conformità a tutte le leggi e i regolamenti applicabili.
  • Per PCI-DSS, l'utente è esclusivamente responsabile di garantire che il profilo di sicurezza della conformità e gli standard di conformità appropriati siano configurati prima di elaborare i dati regolamentati. Per l'elaborazione dei dati PHI, Databricks consiglia vivamente di usare il profilo di sicurezza della conformità e di selezionare lo standard di conformità HIPAA.

Se si abilita questa funzionalità in qualsiasi area di lavoro, vengono addebitati i costi per il componente aggiuntivo Protezione avanzata e conformità, come descritto nella pagina dei prezzi.

Quali risorse di calcolo ottengono una protezione avanzata

I miglioramenti del profilo di sicurezza della conformità si applicano alle risorse di calcolo nel piano di calcolo classico in tutte le aree.

I miglioramenti del profilo di sicurezza della conformità per HIPAA si applicano alle risorse di calcolo nel piano di calcolo classico e al piano di elaborazione serverless in tutte le aree.

Azure Databricks non consente l'avvio di risorse di calcolo serverless quando PCI-DSS è abilitato.

Nota

La maggior parte dei tipi di istanza di Azure è supportata, ma le macchine virtuali basate su Arm64 e di seconda generazione non sono supportate. Azure Databricks non consente l'avvio del calcolo con tali tipi di istanza quando il profilo di sicurezza della conformità è abilitato.

Per altre informazioni sul piano di calcolo classico ed elaborazione serverless, vedere Informazioni generali sull'architettura di Azure Databricks.

Funzionalità del profilo di sicurezza della conformità e controlli tecnici

I miglioramenti sulla sicurezza includono:

  • Immagine avanzata del sistema operativo basata su Ubuntu Advantage.

    Ubuntu Advantage è un pacchetto di sicurezza aziendale e supporto per l'infrastruttura open source e le applicazioni che includono un'immagine con protezione avanzata CIS livello 1.

  • L'aggiornamento automatico del cluster viene abilitato automaticamente.

    I cluster vengono riavviati per ottenere periodicamente gli aggiornamenti più recenti durante una finestra di manutenzione che è possibile configurare. Vedere Aggiornamento automatico del cluster.

  • Il monitoraggio della protezione avanzata è abilitato automaticamente.

    Gli agenti di monitoraggio della sicurezza generano log che è possibile esaminare. Per ulteriori informazioni sugli agenti di monitoraggio, vedere Agenti di monitoraggio nelle immagini del piano di calcolo di Azure Databricks.

  • Le comunicazioni all'interno del cluster e per l’egress usano la crittografia TLS 1.2 o versione successiva, inclusa la connessione al metastore.

Requisiti

Passaggio 1: Preparare un'area di lavoro per il profilo di sicurezza della conformità

Seguire questi passaggi quando si creano nuove aree di lavoro con il profilo di sicurezza abilitato o abilitarlo in un'area di lavoro esistente.

  1. Se l'area di lavoro è configurata per limitare l'accesso alla rete in uscita, è necessario configurare la rete per consentire anche il traffico verso la porta 2443. Vedere Implementare Azure Databricks nella rete virtuale di Azure (VNet Injection).
  2. Eseguire i test seguenti per verificare che le modifiche siano state applicate correttamente:
    1. Avviare un cluster Databricks con un driver, un ruolo di lavoro, qualsiasi versione DBR e qualsiasi tipo di istanza supportato.
    2. Verificare che il cluster entri nello stato In esecuzione.

Passaggio 2: Abilitare il profilo di sicurezza della conformità in un'area di lavoro

Nota

Databricks Assistant è disabilitato per impostazione predefinita nelle aree di lavoro che hanno abilitato il profilo di sicurezza della conformità. Gli amministratori dell'area di lavoro possono abilitarlo seguendo le istruzioni Per un account: Disabilitare o abilitare le funzionalità di Databricks Assistant.

  1. Abilitare il profilo di sicurezza della conformità.

    Per usare il portale di Azure per abilitare il profilo di sicurezza della conformità in un'area di lavoro, vedere Usare portale di Azure per abilitare impostazioni in una nuova area di lavoro. È anche possibile usare un modello di ARM per abilitare il profilo di sicurezza della conformità. Vedere Usare un modello di ARM.

    La propagazione degli aggiornamenti in tutti gli ambienti potrebbe richiedere fino a sei ore. I carichi di lavoro in esecuzione continuano con le impostazioni attive al momento dell'avvio della risorsa di calcolo e le nuove impostazioni si applicano alla successiva avvio di questi carichi di lavoro.

  2. Riavviare tutto il calcolo in esecuzione.

Passaggio 3: Verificare che il profilo di sicurezza di conformità sia abilitato per un'area di lavoro

Per verificare che un'area di lavoro usi il profilo di sicurezza della conformità, controllare che sia visualizzato il logo a scudo giallo nell'interfaccia utente.

  • Nella parte superiore destra della pagina viene visualizzato un logo a forma di scudo a sinistra del nome dell'area di lavoro:

    Logo a forma di scudo piccolo.

  • Fare clic sul nome dell'area di lavoro per visualizzare un elenco delle aree di lavoro a cui si ha accesso. Le aree di lavoro che abilitano il profilo di sicurezza della conformità hanno un'icona di schermata seguita dal testo "Profilo di sicurezza della conformità".

    Logo a forma di scudo grande.

È anche possibile verificare che un'area di lavoro usi il profilo di sicurezza della conformità dalla scheda Sicurezza e conformità nella pagina dell'area di lavoro nella console dell'account.

Account Shield.

Se mancano le icone dello scudo per un'area di lavoro con il profilo di sicurezza di conformità abilitato, contattare il team dell'account Azure Databricks.