Beveiligingsprofiel voor naleving
In dit artikel worden het nalevingsbeveiligingsprofiel en de bijbehorende nalevingscontroles beschreven.
Overzicht van nalevingsbeveiligingsprofiel
Met het beveiligingsprofiel voor naleving kunt u extra bewaking, een beperkte rekeninstallatiekopie en andere functies en besturingselementen in Azure Databricks-werkruimten uitvoeren. Het nalevingsbeveiligingsprofiel bevat besturingselementen die helpen voldoen aan de toepasselijke beveiligingsvereisten van sommige nalevingsstandaarden. Het inschakelen van het nalevingsbeveiligingsprofiel is vereist voor het gebruik van Azure Databricks voor het verwerken van gegevens die zijn gereguleerd onder PCI-DSS-naleving . Het wordt aanbevolen om gegevens te verwerken die worden gereguleerd onder HIPAA-naleving .
U kunt er ook voor kiezen om het nalevingsbeveiligingsprofiel in te schakelen voor de verbeterde beveiligingsfuncties zonder dat u aan een nalevingsstandaard hoeft te voldoen.
Belangrijk
- U bent uitsluitend verantwoordelijk voor het waarborgen van uw eigen naleving van alle toepasselijke wetten en voorschriften.
- Voor PCI-DSS bent u alleen verantwoordelijk voor het garanderen dat het nalevingsbeveiligingsprofiel en de juiste nalevingsstandaarden worden geconfigureerd voordat gereguleerde gegevens worden verwerkt. Voor het verwerken van PHI-gegevens raadt Databricks ten zeerste het gebruik van het nalevingsbeveiligingsprofiel aan en selecteert u de HIPAA-nalevingsstandaard.
Als u deze functie inschakelt voor elke werkruimte, worden er kosten in rekening gebracht voor de invoegtoepassing Verbeterde beveiliging en naleving, zoals beschreven op de pagina met prijzen.
Welke rekenresources verbeterde beveiliging krijgen
De verbeteringen in het nalevingsbeveiligingsprofiel zijn van toepassing op rekenresources in het klassieke rekenvlak in alle regio's.
De verbeteringen van het nalevingsbeveiligingsprofiel voor HIPAA zijn ook van toepassing op rekenresources in het serverloze rekenvlak in alle regio's.
Azure Databricks staat het starten van serverloze rekenresources niet toe wanneer PCI-DSS is ingeschakeld.
Notitie
De meeste Typen Azure-exemplaren worden ondersteund, maar virtuele machines van de tweede generatie (Gen2) en op Arm64 gebaseerde virtuele machines worden niet ondersteund. Azure Databricks staat het starten van rekenprocessen met deze instantietypen niet toe wanneer het beveiligingsprofiel voor naleving is ingeschakeld.
Zie het overzicht van azure Databricks-architectuur voor meer informatie over de architectuur van het rekenvlak.
Functies en technische controles voor beveiligingsprofielen voor naleving
Beveiligingsverbeteringen zijn onder andere:
Een verbeterde beperkte installatiekopie van het besturingssysteem op basis van Ubuntu Advantage.
Ubuntu Advantage is een pakket met bedrijfsbeveiliging en ondersteuning voor opensource-infrastructuur en toepassingen die een met CIS Niveau 1 beveiligde installatiekopie bevatten.
Automatische clusterupdate wordt automatisch ingeschakeld.
Clusters worden opnieuw opgestart om regelmatig de meest recente updates op te halen tijdens een onderhoudsvenster dat u kunt configureren. Zie Automatische clusterupdate.
Verbeterde beveiligingscontrole wordt automatisch ingeschakeld.
Agents voor beveiligingsbewaking genereren logboeken die u kunt controleren. Zie Bewakingsagents in Azure Databricks-rekenvlakinstallatiekopieën voor meer informatie over de bewakingsagents.
Communicatie binnen het cluster en voor uitgaand verkeer maken gebruik van TLS 1.2-versleuteling of hoger, inclusief verbinding maken met de metastore.
Vereisten
- Uw Azure Databricks-werkruimte bevindt zich in de Premium-prijscategorie.
Stap 1: Een werkruimte voorbereiden voor het nalevingsbeveiligingsprofiel
Volg deze stappen wanneer u een nieuwe werkruimte maakt waarvoor het beveiligingsprofiel is ingeschakeld of ingeschakeld voor een bestaande werkruimte.
- Als de werkruimte is geconfigureerd om de uitgaande netwerktoegang te beperken, moet u uw netwerk zo configureren dat verkeer naar poort 2443 wordt toegestaan. Zie Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie).
- Voer de volgende tests uit om te controleren of de wijzigingen correct zijn toegepast:
- Start een Databricks-cluster met één stuurprogramma, één werkrol, elke DBR-versie en elk ondersteund exemplaartype.
- Controleer of het cluster de status Actief invoert.
Stap 2: Het beveiligingsprofiel voor naleving inschakelen in een werkruimte
Notitie
Databricks Assistant is standaard uitgeschakeld voor werkruimten waarvoor het beveiligingsprofiel voor naleving is ingeschakeld. Werkruimtebeheerders kunnen deze inschakelen door de instructies voor een account te volgen: Functies van Databricks Assistant uitschakelen of inschakelen.
Schakel het beveiligingsprofiel voor naleving in.
Als u Azure Portal wilt gebruiken om het beveiligingsprofiel voor naleving in te schakelen in een werkruimte, raadpleegt u Azure Portal gebruiken om instellingen in te schakelen voor een nieuwe werkruimte. U kunt ook een ARM-sjabloon gebruiken om het beveiligingsprofiel voor naleving in te schakelen. Zie Een ARM-sjabloon gebruiken.
Het kan zes uur duren voordat updates zijn doorgegeven aan alle omgevingen. Workloads die actief worden uitgevoerd, gaan verder met de instellingen die actief waren op het moment van het starten van de rekenresource en nieuwe instellingen zijn van toepassing wanneer deze workloads de volgende keer worden gestart.
Start alle actieve berekeningen opnieuw op.
Stap 3: Controleer of het beveiligingsprofiel voor naleving is ingeschakeld voor een werkruimte
Als u wilt controleren of een werkruimte het nalevingsbeveiligingsprofiel gebruikt, controleert u of het gele schildlogo wordt weergegeven in de gebruikersinterface.
Rechtsboven op de pagina wordt een schildlogo weergegeven, links van de naam van de werkruimte:
Klik op de naam van de werkruimte om een lijst weer te geven met de werkruimten waartoe u toegang hebt. De werkruimten die het nalevingsbeveiligingsprofiel inschakelen, hebben een schildpictogram gevolgd door de tekst 'Nalevingsbeveiligingsprofiel'.
U kunt ook bevestigen dat een werkruimte het nalevingsbeveiligingsprofiel gebruikt op het tabblad Beveiliging en naleving op de werkruimtepagina in de accountconsole.
Als de schildpictogrammen ontbreken voor een werkruimte waarvoor het nalevingsbeveiligingsprofiel is ingeschakeld, neemt u contact op met uw Azure Databricks-accountteam.