Verbeterde beveiligingsbewaking

In dit artikel wordt de verbeterde beveiligingsbewakingsfunctie beschreven en hoe u deze configureert in uw Azure Databricks-werkruimte of -account.

Als u deze functie inschakelt, worden er kosten in rekening gebracht voor de invoegtoepassing Verbeterde beveiliging en naleving, zoals beschreven op de pagina met prijzen.

Overzicht van verbeterde beveiligingsbewaking

Verbeterde beveiligingsbewaking van Azure Databricks biedt een verbeterde beveiligde schijfinstallatiekopie en aanvullende beveiligingsbewakingsagents die logboekrijen genereren die u kunt controleren met behulp van diagnostische logboeken.

De beveiligingsverbeteringen zijn alleen van toepassing op rekenresources in het klassieke rekenvlak, zoals clusters en niet-serverloze SQL-warehouses.

Serverloze rekenvlakresources, zoals serverloze SQL-warehouses, hebben geen extra bewaking wanneer verbeterde beveiligingsbewaking is ingeschakeld.

Notitie

De meeste Typen Azure-exemplaren worden ondersteund, maar virtuele machines van de tweede generatie (Gen2) en op Arm64 gebaseerde virtuele machines worden niet ondersteund. Azure Databricks staat het starten van rekenprocessen met deze exemplaartypen niet toe wanneer verbeterde beveiligingsbewaking is ingeschakeld.

Verbeterde beveiligingsbewaking omvat:

• Een verbeterde beperkte installatiekopie van het besturingssysteem op basis van Ubuntu Advantage.

  Ubuntu Advantage is een pakket met bedrijfsbeveiliging en ondersteuning voor opensource-infrastructuur en toepassingen die een met CIS Niveau 1 beveiligde installatiekopie bevatten.

• Antiviruscontroleagent waarmee logboeken worden gegenereerd die u kunt controleren.

• Bewakingsagent voor bestandsintegriteit waarmee logboeken worden gegenereerd die u kunt controleren.

Bewakingsagents in installatiekopieën van azure Databricks-rekenvlak

Hoewel verbeterde beveiligingsbewaking is ingeschakeld, zijn er extra beveiligingsbewakingsagents, waaronder twee agents die vooraf zijn geïnstalleerd in de verbeterde installatiekopieën van het rekenvlak. U kunt de bewakingsagents die zich in de verbeterde schijfinstallatiekopieën van het rekenvlak bevinden, niet uitschakelen.

Bewakingsagent	Locatie	Beschrijving	Uitvoer ophalen
Bestandsintegriteit controleren	Verbeterde afbeelding van het rekenvlak	Controleert op schendingen van bestandsintegriteit en beveiligingsgrenzen. Deze monitoragent wordt uitgevoerd op de werkrol-VM in uw cluster.	Schakel de systeemtabel van het auditlogboek in en controleer de logboeken voor nieuwe rijen.
Antivirus- en malwaredetectie	Verbeterde afbeelding van het rekenvlak	Scant het bestandssysteem dagelijks op virussen. Deze monitoragent wordt uitgevoerd op de VM's in uw rekenresources, zoals clusters en pro- of klassieke SQL-warehouses. De agent voor antivirus- en malwaredetectie scant het volledige bestandssysteem van het besturingssysteem en het Bestandssysteem van de Databricks Runtime-container. Alles buiten de cluster-VM's valt buiten het scanbereik.	Schakel de systeemtabel van het auditlogboek in en controleer de logboeken voor nieuwe rijen.
Scannen op beveiligingsproblemen	Scannen vindt plaats in representatieve installatiekopieën in de Azure Databricks-omgevingen.	Scant de containerhost (VM) op bepaalde bekende beveiligingsproblemen en algemene beveiligingsproblemen en blootstellingen (CVE's).	E-mail verzonden naar Azure Databricks-werkruimtebeheerders.

Als u de nieuwste versies van bewakingsagents wilt ophalen, kunt u uw clusters opnieuw opstarten. Als uw werkruimte gebruikmaakt van automatische clusterupdates, worden clusters standaard opnieuw opgestart tijdens de geplande onderhoudsvensters. Als het beveiligingsprofiel voor naleving is ingeschakeld voor een werkruimte, wordt automatische clusterupdate permanent ingeschakeld voor die werkruimte.

Bestandsintegriteit controleren

De verbeterde afbeelding van het rekenvlak bevat een bewakingsservice voor bestandsintegriteit die runtime-zichtbaarheid en detectie van bedreigingen biedt voor rekenresources (clustermedewerkers) in het klassieke rekenvlak in uw werkruimte.

De uitvoer van de bestandsintegriteitscontrole wordt gegenereerd in uw auditlogboeken, waartoe u toegang hebt met systeemtabellen. Zie Gebruik bewaken met systeemtabellen. Voor het JSON-schema voor nieuwe controlebare gebeurtenissen die specifiek zijn voor bewaking van bestandsintegriteit, raadpleegt u Bewakingsgebeurtenissen voor bestandsintegriteit.

Belangrijk

Het is uw verantwoordelijkheid om deze logboeken te bekijken. Databricks kan deze logboeken naar eigen goeddunken bekijken, maar doet dit niet. Als de agent een schadelijke activiteit detecteert, is het uw verantwoordelijkheid om deze gebeurtenissen te sorteren en een ondersteuningsticket te openen met Databricks als voor de oplossing of herstel een actie van Databricks is vereist. Databricks kan actie ondernemen op basis van deze logboeken, waaronder het onderbreken of beëindigen van de resources, maar doet hiervoor geen toezegging.

Antivirus- en malwaredetectie

De verbeterde afbeelding van het rekenvlak bevat een antivirus-engine voor het detecteren van trojans, virussen, malware en andere schadelijke bedreigingen. De antivirusmonitor scant het volledige bestandssysteem van het besturingssysteem en het Databricks Runtime-containerbestandssysteem. Alles buiten de cluster-VM's valt buiten het scanbereik.

De uitvoer van de antivirusmonitor wordt gegenereerd in auditlogboeken, waartoe u toegang hebt met systeemtabellen (openbare preview). Zie Antivirus-bewakingsgebeurtenissen voor het JSON-schema voor nieuwe controlebare gebeurtenissen die specifiek zijn voor antivirusbewaking.

Wanneer er een nieuwe installatiekopie van een virtuele machine wordt gemaakt, worden bijgewerkte handtekeningbestanden erin opgenomen.

Belangrijk

Het is uw verantwoordelijkheid om deze logboeken te bekijken. Databricks kan deze logboeken naar eigen goeddunken bekijken, maar doet dit niet. Als de agent een schadelijke activiteit detecteert, is het uw verantwoordelijkheid om deze gebeurtenissen te sorteren en een ondersteuningsticket te openen met Databricks als voor de oplossing of herstel een actie van Databricks is vereist. Databricks kan actie ondernemen op basis van deze logboeken, waaronder het onderbreken of beëindigen van de resources, maar doet hiervoor geen toezegging.

Wanneer een nieuwe AMI-installatiekopie is gemaakt, worden bijgewerkte handtekeningbestanden opgenomen in de nieuwe AMI-installatiekopie.

Scannen op beveiligingsproblemen

Een agent voor het bewaken van beveiligingsproblemen voert beveiligingsscans uit van de containerhost (VM) voor bepaalde bekende CV's. Het scannen vindt plaats in representatieve installatiekopieën in de Azure Databricks-omgevingen. Beveiligingsscanrapporten worden per e-mail verzonden naar alle werkruimtebeheerders wanneer Azure Databricks nieuwe AMI-schijfinstallatiekopieën publiceert.

Wanneer beveiligingsproblemen met deze agent worden gevonden, houdt Databricks deze bij in de SLA voor beveiligingsproblemen en brengt een bijgewerkte installatiekopie vrij wanneer deze beschikbaar is.

Beheer en upgrade van bewakingsagents

De extra bewakingsagents die zich op de schijfinstallatiekopieën bevinden die worden gebruikt voor de rekenresources in de klassieke rekenlaag, maken deel uit van het standaardProces van Azure Databricks voor het upgraden van systemen:

• De klassieke basisschijfinstallatiekopieën van het rekenvlak (AMI) zijn eigendom van, beheerd en gepatcht door Databricks.
• Databricks levert en past beveiligingspatches toe door nieuwe AMI-schijfinstallatiekopieën vrij te geven. Het leveringsschema is afhankelijk van nieuwe functionaliteit en de SLA voor gedetecteerde beveiligingsproblemen. Typische levering is om de twee tot vier weken.
• Het basisbesturingssysteem voor het rekenvlak is Ubuntu Advantage.
• Azure Databricks-clusters en pro- of klassieke SQL-warehouses zijn standaard kortstondig. Bij het starten gebruiken clusters en pro- of klassieke SQL-warehouses de meest recente beschikbare basisinstallatiekopie. Oudere versies met beveiligingsproblemen zijn mogelijk niet beschikbaar voor nieuwe clusters.
  • U bent verantwoordelijk voor het regelmatig opnieuw opstarten van clusters (met behulp van de gebruikersinterface of API) om ervoor te zorgen dat ze de meest recente gepatchte host-VM-installatiekopieën gebruiken.

Beëindiging van agent bewaken

Als een monitoragent op de werkrol-VM niet wordt uitgevoerd vanwege een crash of andere beëindiging, probeert het systeem de agent opnieuw op te starten.

Bewaarbeleid voor gegevens voor het bewaken van agentgegevens

Bewakingslogboeken worden verzonden naar de systeemtabel van het auditlogboek in uw eigen opslag in uw Azure-abonnement als u diagnostische logboeken hebt geconfigureerd. Retentie, opname en analyse van deze logboeken is uw verantwoordelijkheid.

Rapporten en logboeken voor het scannen van beveiligingsproblemen worden ten minste één jaar bewaard door Databricks.

Verbeterde beveiliging van Azure Databricks inschakelen

• Uw Azure Databricks-werkruimte moet zich in het Premium-abonnement bevinden.

Zie Azure Portal gebruiken om instellingen in te schakelen voor een nieuwe werkruimte om verbeterde beveiligingsbewaking in te schakelen voor een werkruimte.

Het kan tot zes uur duren voordat updates worden doorgegeven aan alle omgevingen en naar downstreamsystemen, zoals facturering. Workloads die actief worden uitgevoerd, gaan verder met de instellingen die actief waren op het moment van het starten van het cluster of andere rekenresource, en nieuwe instellingen worden toegepast wanneer deze workloads de volgende keer worden gestart.