Базовая конфигурация системы безопасности Azure для Azure Databricks
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Azure Databricks. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Azure Databricks.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции , неприменимые к Azure Databricks, были исключены. Чтобы узнать, как Azure Databricks полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Azure Databricks.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении Azure Databricks с высоким уровнем влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Аналитика, хранилище |
| Клиент может получить доступ к HOST/ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Развертывание Azure Databricks по умолчанию — это полностью управляемая служба в Azure: все ресурсы плоскости данных, включая виртуальную сеть, с которым будут связаны все кластеры, развертываются в заблокированной группе ресурсов. Однако если требуется настройка сети, можно развернуть ресурсы плоскости данных Azure Databricks в собственной виртуальной сети (внедрение виртуальной сети), что позволит реализовать пользовательские конфигурации сети. Вы можете применить собственную группу безопасности сети (NSG) с настраиваемыми правилами к определенным ограничениям исходящего трафика.
Справочник. Интеграция с виртуальной сетью Databricks
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Справка. Группа безопасности сети
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Клиенты Azure Databricks могут использовать функцию списков доступа по IP-адресам, чтобы определить набор утвержденных IP-адресов, чтобы запретить доступ с общедоступных ИЛИ неутвержденных IP-адресов.
Справочник. Список доступа по IP-адресам в Databricks
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Azure Databricks автоматически настраивается для использования единого входа Azure Active Directory (Azure AD) для проверки подлинности пользователей. Пользователи за пределами организации должны выполнить процедуру приглашения и быть добавленными в клиент Active Directory, прежде чем они смогут войти в Azure Databricks с использованием единого входа. Вы можете реализовать SCIM для автоматизации подготовки и отзыва пользователей из рабочих областей.
Использование API SCIM для Azure Databricks
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Для служб, которые не поддерживают управляемые удостоверения, используйте Azure Active Directory (Azure AD), чтобы создать субъект-службу с ограниченными разрешениями на уровне ресурса. Настройте субъекты-службы с учетными данными сертификата и вернитесь к секретам клиента для проверки подлинности.
Справочник. Субъект-служба в Databricks
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Кроме того, Azure Databricks поддерживает списки доступа по IP-адресу, чтобы сделать доступ к веб-приложению и REST API более безопасным.
Списки доступа по IP-адресу в Databricks
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка. Условный доступ в Databricks
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Azure Databricks также поддерживает область секрета, хранящегося в зашифрованной базе данных, принадлежащей и управляемой Azure Databricks.
Области с поддержкой Databricks
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраивают их в файлы кода или конфигурации.
Справка. Интеграция Key Vault в Databricks
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Вы можете использовать API SCIM Azure Databricks для управления пользователями в рабочей области Azure Databricks и предоставления назначенным пользователям прав администратора.
Как использовать API-интерфейсы SCIM
В Azure Databricks можно использовать списки управления доступом (ACL), чтобы настроить разрешение на доступ к различным объектам рабочей области.
Управление доступом в Databricks
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Управление доступом в Azure Databricks
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Справочник. Защищенное хранилище
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. По умолчанию данные, передаваемые между рабочими узлами в кластере, не шифруются. Если в вашей среде требуется постоянное шифрование данных, можно создать скрипт инициализации, который настраивает кластеры для шифрования трафика между рабочими узлами.
Руководство по настройке. Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Примените протокол HTTPS для любых веб-приложений и служб и убедитесь, что используется ПРОТОКОЛ TLS версии 1.2 или более поздней. Устаревшие версии, такие как SSL 3.0, TLS версии 1.0, должны быть отключены. Для удаленного управления Виртуальные машины вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Справочник. Шифрование передаваемых данных для Databricks
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Шифрование неактивных данных с помощью управляемых платформой ключей в Databricks
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. В Azure Databricks есть две ключевые функции, управляемые клиентом, для разных типов данных.
Использование ключей, управляемых клиентом, для шифрования
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Справка. Шифрование неактивных данных с помощью CMK в Databricks
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Обратите внимание, что вы не можете использовать личный маркер доступа Azure Databricks или маркер Azure AD приложения, принадлежащий субъекту-службе.
Избегайте личного маркера доступа
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и службе по определенному расписанию или при прекращении использования или компрометации ключа. Если необходимо использовать управляемый клиентом ключ (CMK) на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы следуете рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импортировать ключи, защищенные устройством HSM, из локальных устройств HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Справочник. Управление ключами в Databricks
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует] для обеспечения безопасной конфигурации в ресурсах Azure.
Справка. Databricks Политика Azure
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для предложения услуг и продуктов
Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Для ведения журнала аудита Azure Databricks предоставляет комплексные журналы диагностики действий, выполняемых пользователями Azure Databricks, что позволяет вашей организации отслеживать подробные шаблоны использования Azure Databricks.
Примечание. Для журналов диагностики Azure Databricks требуется план Azure Databricks premium.
Как включить параметры диагностики для журнала действий Azure
Как включить параметры диагностики для Azure Databricks
Справочник. Журналы ресурсов в Databricks
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Компоненты
Другие рекомендации по PV-3
При создании кластера Azure Databricks он запускает базовые образы виртуальных машин. Пользовательский код выполняется в контейнерах, развернутых на виртуальных машинах. Реализуйте стороннее решение по управлению уязвимостями. Если у вас есть подписка на платформу управления уязвимостями, вы можете использовать сценарии инициализации Azure Databricks, которые выполняются в контейнерах на каждом узле, чтобы установить агенты оценки уязвимостей на узлах кластера Azure Databricks и управлять узлами с помощью соответствующего портала. Обратите внимание, что каждое стороннее решение работает по-разному.
Скрипты инициализации узлов кластера Databricks
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Для источников данных Azure Databricks убедитесь, что вы настроили соответствующий уровень избыточности данных для вашего варианта использования. Например, если для хранилища данных Azure Databricks используется учетная запись хранения Azure, выберите соответствующий параметр избыточности (LRS, ZRS, GRS, RA-GRS).
Источники данных для Azure Databricks
Руководство по конфигурации. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Справочник. Региональное аварийное восстановление для кластеров Azure Databricks
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.