Профиль безопасности соответствия требованиям

  • Статья

В этой статье описываются профиль безопасности соответствия и его элементы управления соответствием.

Обзор профиля безопасности соответствия требованиям

Профиль безопасности соответствия обеспечивает дополнительный мониторинг, защищенный образ вычислений и другие функции и элементы управления в рабочих областях Azure Databricks. Профиль безопасности соответствия включает элементы управления, которые помогают соответствовать применимым требованиям безопасности некоторых стандартов соответствия. Чтобы включить профиль безопасности соответствия требованиям, необходимо использовать Azure Databricks для обработки данных, регулируемых согласно требованиям PCI-DSS , и рекомендуется обрабатывать данные, регулируемые в соответствии с HIPAA .

Вы также можете включить профиль безопасности соответствия для его расширенных функций безопасности без необходимости соответствовать стандарту соответствия.

Внимание

  • Вы несете ответственность за обеспечение собственного соответствия всем применимым законам и нормативным актам.
  • Для PCI-DSS вы несете ответственность за обеспечение того, чтобы профиль безопасности соответствия и соответствующие стандарты соответствия были настроены перед обработкой регулируемых данных. Для обработки данных PHI Databricks настоятельно рекомендует использовать профиль безопасности соответствия требованиям и выбрать стандарт соответствия HIPAA.

Если включить эту функцию в любой рабочей области, плата взимается за надстройку "Улучшенная безопасность и соответствие требованиям", как описано на странице цен.

Какие вычислительные ресурсы получают повышенную безопасность

Усовершенствования профиля безопасности соответствия применяются к вычислительным ресурсам в классической плоскости вычислений во всех регионах.

Улучшения профиля безопасности соответствия требованиям для HIPAA применяются к вычислительным ресурсам в бессерверной плоскости вычислений во всех регионах.

Azure Databricks не разрешает запуск бессерверных вычислительных ресурсов при включении PCI-DSS.

Примечание.

Большинство типов экземпляров Azure поддерживаются, но виртуальные машины на основе Arm64 поколения 2-го поколения не поддерживаются. Azure Databricks не разрешает запуск вычислений с этими типами экземпляров при включении профиля безопасности соответствия.

Функции профиля безопасности соответствия требованиям и технические элементы управления

К усовершенствованиям безопасности относятся:

  • Расширенный защищенный образ операционной системы на основе преимущества Ubuntu.

    Преимущество Ubuntu — это пакет корпоративной безопасности и поддержки инфраструктуры и приложений открытый код, включающих образ уровня 1 CIS.

  • Автоматическое обновление кластера автоматически включено.

    Кластеры перезапускаются, чтобы периодически получать последние обновления во время периода обслуживания, который можно настроить. См. раздел "Автоматическое обновление кластера".

  • Расширенный мониторинг защиты включен автоматически.

    Агенты мониторинга безопасности создают журналы, которые можно просмотреть. Дополнительные сведения об агентах мониторинга см. в разделе "Агенты мониторинга" в образах вычислительных плоскостей Azure Databricks.

  • Обмен данными в кластере и для исходящего трафика использует шифрование TLS 1.2 или более поздней версии, включая подключение к хранилищу метаданных.

Требования

  • Рабочая область Azure Databricks находится на ценовой категории "Премиум".

Шаг 1. Подготовка рабочей области для профиля безопасности соответствия требованиям

Выполните следующие действия при создании новых рабочих областей с включенным профилем безопасности или его включении в существующей рабочей области.

  1. Если рабочая область настроена для ограничения исходящего сетевого доступа, необходимо настроить сеть для дополнительного разрешения трафика на порт 2443. См. статью Развертывание Azure Databricks в виртуальной сети Azure (внедрение виртуальной сети).
  2. Выполните следующие тесты, чтобы убедиться, что изменения были применены правильно.
    1. Запустите кластер Databricks с одним драйвером, одной рабочей ролью, любой версией DBR и любым поддерживаемым типом экземпляра.
    2. Подтвердите, что кластер входит в состояние выполнения .

Шаг 2. Включение профиля безопасности соответствия в рабочей области

Примечание.

Помощник по Databricks отключен по умолчанию для рабочих областей, в которых включен профиль безопасности соответствия требованиям. Администраторы рабочей области могут включить его, выполнив инструкции enable или disable Databricks Assistant.

  1. Включите профиль безопасности соответствия требованиям.

    Сведения об использовании портал Azure для включения профиля безопасности соответствия в рабочей области см. в разделе "Использование портал Azure для включения параметров в новой рабочей области". Вы также можете использовать шаблон ARM для включения профиля безопасности соответствия требованиям. См . раздел "Использование шаблона ARM".

    Обновления может занять до шести часов для распространения во всех средах. Рабочие нагрузки, которые активно выполняются, продолжают работать с параметрами, которые были активными во время запуска вычислительного ресурса, и новые параметры применяются при следующем запуске этих рабочих нагрузок.

  2. Перезапустите все запущенные вычисления.

Шаг 3. Убедитесь, что профиль безопасности соответствия включен для рабочей области

Чтобы убедиться, что рабочая область использует профиль безопасности соответствия требованиям, проверка, что в пользовательском интерфейсе отображается логотип желтого щита.

  • Логотип щита отображается в правом верхнем углу страницы слева от имени рабочей области:

    Логотип щита маленький.

  • Щелкните имя рабочей области, чтобы просмотреть список рабочих областей, к которым у вас есть доступ. Рабочие области, которые позволяют профилю безопасности соответствия, имеют значок щита, за которым следует текст "Профиль безопасности соответствия".

    Логотип щита большой.

Вы также можете подтвердить, что рабочая область использует профиль безопасности соответствия на вкладке "Безопасность и соответствие " на странице рабочей области в консоли учетной записи.

Экранирование учетной записи.

Если значки щита отсутствуют для рабочей области с включенным профилем безопасности соответствия требованиям, обратитесь к группе учетной записи Azure Databricks.