Dela via


Azure-säkerhetsbaslinje för Azure Databricks

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 till Azure Databricks. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Azure Databricks.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Azure Databricks har exkluderats. Om du vill se hur Azure Databricks helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Azure Databricks-säkerhetsbaslinjen.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure Databricks, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Analys, lagring
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Sant
Lagrar kundinnehåll i vila Sant

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-1: Upprätta gränser för nätverkssegmentering

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Standarddistributionen av Azure Databricks är en fullständigt hanterad tjänst i Azure: alla dataplansresurser, inklusive ett virtuellt nätverk som alla kluster ska associeras med, distribueras till en låst resursgrupp. Om du behöver nätverksanpassning kan du dock distribuera Azure Databricks-dataplansresurser i ditt eget virtuella nätverk (VNet-inmatning), så att du kan implementera anpassade nätverkskonfigurationer. Du kan använda din egen nätverkssäkerhetsgrupp (NSG) med anpassade regler för specifika begränsningar för utgående trafik.

Referens: Databricks VNET-integrering

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.

Referens: Nätverkssäkerhetsgrupp

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Azure Databricks-kunder kan använda funktionen IP-åtkomstlistor för att definiera en uppsättning godkända IP-adresser för att förhindra åtkomst från offentliga IP-adresser eller icke godkända IP-adresser.

Referens: IP-åtkomstlista i Databricks

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD autentisering för dataplansåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

SNABBMEDDELANDE 3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Azure Databricks konfigureras automatiskt för att använda enkel inloggning i Azure Active Directory (Azure AD) för att autentisera användare. Användare utanför organisationen måste slutföra inbjudan och läggas till i Din Active Directory-klientorganisation innan de kan logga in på Azure Databricks via enkel inloggning. Du kan implementera SCIM för att automatisera etablering och avetablering av användare från arbetsytor.

Förstå enkel inloggning för Azure Databricks

Så här använder du SCIM-API:er för Azure Databricks

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: För tjänster som inte stöder hanterade identiteter använder du Azure Active Directory (Azure AD) för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå. Konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter för autentisering.

Referens: Tjänstens huvudnamn i Databricks

SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor

Funktioner

Villkorsstyrd åtkomst för dataplanet

Beskrivning: Åtkomst till dataplan kan styras med hjälp av Azure AD principer för villkorlig åtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Dessutom har Azure Databricks stöd för IP-åtkomstlistor för att göra åtkomsten till webbprogrammet och REST-API:et säkrare.

IP-åtkomstlistor i Databricks

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Villkorlig åtkomst i Databricks

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure Databricks stöder också ett hemligt omfång som lagras i (backas upp av) en krypterad databas som ägs och hanteras av Azure Databricks.

Databricks-backade omfång

Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.

Referens: Key Vault integrering i Databricks

Privilegierad åtkomst

Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).

PA-7: Följ principen för precis tillräckligt med administration (minst behörighet)

Funktioner

Azure RBAC för dataplan

Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Du kan använda AZURE Databricks SCIM-API:er för att hantera användare på en Azure Databricks-arbetsyta och bevilja administratörsbehörighet till utsedda användare.

Så här använder du SCIM-API:er

I Azure Databricks kan du använda åtkomstkontrollistor (ACL:er) för att konfigurera behörighet att komma åt olika arbetsyteobjekt.

Åtkomstkontroll i Databricks

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Hantera åtkomstkontroll i Azure Databricks

PA-8: Fastställa åtkomstprocessen för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och godkänner eller avvisar sedan var och en av Microsofts dataåtkomstbegäranden.

Referens: Kundlåsbox

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Som standard krypteras inte data som utbyts mellan arbetsnoder i ett kluster. Om din miljö kräver att data alltid krypteras kan du skapa ett init-skript som konfigurerar dina kluster för att kryptera trafik mellan arbetsnoder.

Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns inbyggda data i den inbyggda krypteringsfunktionen för överföring. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner som SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av Virtual Machines använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.

Referens: Data under överföringskryptering för Databricks

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Vilande datakryptering med plattformsnycklar

Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Vilande kryptering med plattformshanterade nycklar i Databricks

DP-5: Använd alternativet kundhanterad nyckel i vilodatakryptering vid behov

Funktioner

Vilande datakryptering med CMK

Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure Databricks har två kundhanterade nyckelfunktioner för olika typer av data.

Kundhanterade nycklar för kryptering

Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfall och tjänstomfång där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.

Referens: Vilande kryptering med hjälp av CMK i Databricks

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Observera att du inte kan använda en personlig åtkomsttoken för Azure Databricks eller en Azure AD programtoken som tillhör ett tjänsthuvudnamn.

Undvik personlig åtkomsttoken

Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå bör du följa metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Kontrollera att nycklarna är registrerade med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.

Referens: Nyckelhantering i Databricks

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och tillämpa konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.

Referens: Databricks Azure Policy

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: För granskningsloggning tillhandahåller Azure Databricks omfattande diagnostikloggar från slutpunkt till slutpunkt för aktiviteter som utförs av Azure Databricks-användare, så att företaget kan övervaka detaljerade Användningsmönster för Azure Databricks.

Obs! Azure Databricks-diagnostikloggar kräver Azure Databricks Premium-planen.

Så här aktiverar du diagnostikinställningar för Azure-aktivitetslogg

Aktivera diagnostikinställningar för Azure Databricks

Referens: Resursloggar i Databricks

Status- och sårbarhetshantering

Mer information finns i Microsofts benchmark för molnsäkerhet: Hantering av hållning och sårbarhet.

PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser

Funktioner

Annan vägledning för PV-3

När du skapar ett Azure Databricks-kluster startar det grundläggande VM-avbildningar. Användarkod körs i containrar som distribueras på de virtuella datorerna. Implementera en lösning för sårbarhetshantering från tredje part. Om du har en prenumeration på plattformen för sårbarhetshantering kan du använda Azure Databricks-initieringsskript som körs i containrarna på var och en av noderna, för att installera agenter för sårbarhetsbedömning på dina Azure Databricks-klusternoder och hantera noderna via respektive portal. Observera att alla lösningar från tredje part fungerar på olika sätt.

Initieringsskript för Databricks-klusternoder

Säkerhetskopiering och återställning

Mer information finns i Microsoft Cloud Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Funktion för inbyggd säkerhetskopiering av tjänsten

Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: För dina Azure Databricks-datakällor kontrollerar du att du har konfigurerat en lämplig nivå av dataredundans för ditt användningsfall. Om du till exempel använder ett Azure Storage-konto för ditt Azure Databricks-datalager väljer du lämpligt redundansalternativ (LRS, ZRS, GRS, RA-GRS).

Datakällor för Azure Databricks

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Regional haveriberedskap för Azure Databricks-kluster

Nästa steg