Ta przeglądarka nie jest już obsługiwana.
Przejdź na przeglądarkę Microsoft Edge, aby korzystać z najnowszych funkcji, aktualizacji zabezpieczeń i pomocy technicznej.
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure Databricks. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usługi Azure Databricks.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje , które nie mają zastosowania do usługi Azure Databricks, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Databricks całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń usługi Azure Databricks.
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Databricks, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Analiza, magazyn |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: domyślne wdrożenie usługi Azure Databricks to w pełni zarządzana usługa na platformie Azure: wszystkie zasoby płaszczyzny danych, w tym sieć wirtualna, z którą będą skojarzone wszystkie klastry, zostaną wdrożone w zablokowanej grupie zasobów. Jeśli jednak potrzebujesz dostosowania sieci, możesz wdrożyć zasoby płaszczyzny danych usługi Azure Databricks we własnej sieci wirtualnej (iniekcja sieci wirtualnej), co umożliwi zaimplementowanie niestandardowych konfiguracji sieci. Możesz zastosować własną sieciową grupę zabezpieczeń z regułami niestandardowymi do określonych ograniczeń ruchu wychodzącego.
Dokumentacja: Integracja z siecią wirtualną usługi Databricks
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usług Azure Load Balancers.
Dokumentacja: Sieciowa grupa zabezpieczeń
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: klienci usługi Azure Databricks mogą używać funkcji list dostępu do adresów IP, aby zdefiniować zestaw zatwierdzonych adresów IP, aby uniemożliwić dostęp do publicznego adresu IP lub niezatwierdzonych adresów IP.
Dokumentacja: lista dostępu do adresów IP w usłudze Databricks
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.
Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: usługa Azure Databricks jest automatycznie konfigurowana do korzystania z logowania jednokrotnego usługi Azure Active Directory (Azure AD) w celu uwierzytelniania użytkowników. Użytkownicy spoza organizacji muszą ukończyć proces zaproszenia i zostać dodani do dzierżawy usługi Active Directory, zanim będą mogli zalogować się do usługi Azure Databricks za pośrednictwem logowania jednokrotnego. SCIM można zaimplementować w celu zautomatyzowania aprowizacji i anulowania aprowizacji użytkowników z obszarów roboczych.
Omówienie logowania jednokrotnego dla usługi Azure Databricks
Jak używać interfejsów API SCIM dla usługi Azure Databricks
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w przypadku usług, które nie obsługują tożsamości zarządzanych, użyj usługi Azure Active Directory (Azure AD), aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Skonfiguruj jednostki usługi przy użyciu poświadczeń certyfikatu i wróć do wpisów tajnych klienta na potrzeby uwierzytelniania.
Dokumentacja: Jednostka usługi w usłudze Databricks
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Ponadto usługa Azure Databricks obsługuje listy dostępu do adresów IP w celu zwiększenia bezpieczeństwa dostępu do aplikacji internetowej i interfejsu API REST.
Listy dostępu do adresów IP w usłudze Databricks
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Dostęp warunkowy w usłudze Databricks
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługa Azure Databricks obsługuje również zakres wpisów tajnych przechowywanych (wspieranych przez) zaszyfrowaną bazę danych należącą do usługi Azure Databricks i zarządzaną przez usługę Azure Databricks.
Zakresy oparte na usłudze Databricks
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak azure Key Vault, zamiast osadzania ich w plikach kodu lub konfiguracji.
Dokumentacja: integracja Key Vault w usłudze Databricks
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: interfejsy API SCIM usługi Azure Databricks umożliwiają zarządzanie użytkownikami w obszarze roboczym usługi Azure Databricks i udzielanie uprawnień administracyjnych wyznaczonym użytkownikom.
Jak używać interfejsów API SCIM
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do różnych obiektów obszaru roboczego.
Kontrola dostępu w usłudze Databricks
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Jak zarządzać kontrolą dostępu w usłudze Azure Databricks
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.
Dokumentacja: Skrytka klienta
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.
Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: domyślnie dane wymieniane między węzłami procesu roboczego w klastrze nie są szyfrowane. Jeśli środowisko wymaga szyfrowania danych przez cały czas, możesz utworzyć skrypt init, który konfiguruje klastry do szyfrowania ruchu między węzłami procesu roboczego.
Wskazówki dotyczące konfiguracji: włącz bezpieczny transfer w usługach, w których wbudowane są natywne dane podczas szyfrowania tranzytowego. Wymuszaj protokół HTTPS w dowolnych aplikacjach internetowych i usługach i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania Virtual Machines użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Dokumentacja: Dane przesyłane w usłudze Databricks
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych platformy w usłudze Databricks
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługa Azure Databricks ma dwie kluczowe funkcje zarządzane przez klienta dla różnych typów danych.
Klucze zarządzane przez klienta na potrzeby szyfrowania
Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Dokumentacja: Szyfrowanie danych magazynowanych przy użyciu klucza cmK w usłudze Databricks
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: nie można użyć osobistego tokenu dostępu usługi Azure Databricks ani tokenu aplikacji Azure AD należącego do jednostki usługi.
Unikanie osobistego tokenu dostępu
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub wycofania klucza lub naruszenia zabezpieczeń. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyszane za pomocą identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi początkowego generowania kluczy i transferu kluczy.
Dokumentacja: Zarządzanie kluczami w usłudze Databricks
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Dokumentacja: Azure Policy usługi Databricks
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w przypadku rejestrowania inspekcji usługa Azure Databricks udostępnia kompleksowe dzienniki diagnostyczne działań wykonywanych przez użytkowników usługi Azure Databricks, dzięki czemu przedsiębiorstwo może monitorować szczegółowe wzorce użycia usługi Azure Databricks.
Uwaga: dzienniki diagnostyczne usługi Azure Databricks wymagają planu Premium usługi Azure Databricks.
Jak włączyć ustawienia diagnostyczne dla dziennika aktywności platformy Azure
Jak włączyć ustawienia diagnostyczne dla usługi Azure Databricks
Dokumentacja: Dzienniki zasobów w usłudze Databricks
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
Podczas tworzenia klastra usługi Azure Databricks uruchamia on podstawowe obrazy maszyn wirtualnych. Kod użytkownika jest uruchamiany w kontenerach wdrożonych na maszynach wirtualnych. Zaimplementuj rozwiązanie do zarządzania lukami w zabezpieczeniach innych firm. Jeśli masz subskrypcję platformy zarządzania lukami w zabezpieczeniach, możesz użyć skryptów inicjowania usługi Azure Databricks działających w kontenerach na każdym z węzłów, aby zainstalować agentów oceny luk w zabezpieczeniach w węzłach klastra usługi Azure Databricks i zarządzać węzłami za pośrednictwem odpowiedniego portalu. Należy pamiętać, że każde rozwiązanie innej firmy działa inaczej.
Skrypty inicjowania węzła klastra usługi Databricks
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: W przypadku źródeł danych usługi Azure Databricks upewnij się, że skonfigurowano odpowiedni poziom nadmiarowości danych dla danego przypadku użycia. Jeśli na przykład używasz konta usługi Azure Storage dla magazynu danych usługi Azure Databricks, wybierz odpowiednią opcję nadmiarowości (LRS, ZRS, GRS, RA-GRS).
Źródła danych dla usługi Azure Databricks
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Regionalne odzyskiwanie po awarii dla klastrów usługi Azure Databricks
Szkolenie
Certyfikacja
Certyfikat Microsoft: Administrator bazy danych platformy Azure, poziom Associate - Certifications
Administrowanie infrastrukturą bazy danych programu SQL Server dla chmurowych, lokalnych i hybrydowych relacyjnych baz danych przy użyciu ofert relacyjnych baz danych PaaS firmy Microsoft.
Dokumentacja
Zabezpieczenia i zgodność — Azure Databricks
Dowiedz się, jak usługa Azure Databricks zabezpiecza dane i prywatność oraz jak zabezpieczyć konto i dane usługi Azure Databricks.
Inspekcja, prywatność i zgodność — Azure Databricks
Dowiedz się, jak usługa Databricks obsługuje inspekcję, prywatność i zgodność w wysoce regulowanych branżach, w tym profile zgodności dla systemów HIPAA, IRAP, PCI-DSS, FedRAMP High i FedRAMP Moderate.
Zabezpieczenia i szyfrowanie danych — Azure Databricks
Ochrona danych za pomocą szyfrowania magazynowanych i przesyłanych danych. Skonfiguruj klucze zarządzane przez klienta, aby uzyskać większą kontrolę nad prywatnością danych.