合规性安全配置文件

本文介绍了合规性安全配置文件及其合规性控制。

合规性安全配置文件概述

合规性安全配置文件在 Azure Databricks 工作区上启用了额外的监视、一个强化计算映像以及其他功能和控制措施。 合规性安全配置文件包括有助于满足一些合规性标准的适用安全要求的控件。 使用 Azure Databricks 处理受 PCI-DSS 合规性标准监管的数据时,必须启用合规性安全配置文件;处理受 HIPAA 合规性标准监管的数据时,也建议使用它。

还可以选择启用合规性安全配置文件以实现其增强的安全功能,而无需遵循合规性标准。

重要

  • 你全权负责确保自己遵守所有适用的法律和法规。
  • 对于 PCI-DSS,你只负责确保在处理受监管数据之前配置合规性安全配置文件和适当的合规性标准。 对于 PHI 数据的处理,Databricks 强烈建议使用合规性安全配置文件并选择 HIPAA 合规性标准。

如果在任何工作区启用此功能,则需按照定价页上的说明为增强的安全性和合规性加载项付费。

对哪些计算资源提供增强的安全性

在所有区域,合规性安全配置文件增强功能适用于经典计算平面中的计算资源。

HIPAA 的合规性安全配置文件增强功能同样适用于所有区域中无服务器计算平面中的计算资源。

当启用了 PCI-DSS 时,Azure Databricks 不允许启动无服务器计算资源。

注意

支持大多数 Azure 实例类型,但不支持第 2 代 (Gen2) 和基于 Arm64 的虚拟机。 当启用了合规性安全配置文件时,Azure Databricks 不允许启动包含这些实例类型的计算。

有关计算平面体系结构的详细信息,请参阅 Azure Databricks 体系结构概述

合规性安全配置文件功能和技术控制

安全性增强功能包括:

  • 基于 Ubuntu Advantage 的增强型强化操作系统映像。

    Ubuntu Advantage 是针对开源基础结构和应用程序的企业安全性和支持包,其中包括 CIS 1 级强化映像。

  • 自动启用自动群集更新。

    群集将重启,以便在可以配置的维护时段内定期获取最新更新。 请参阅自动群集更新

  • 自动启用增强的安全监视。

    安全监视代理生成可查看的日志。 有关监视代理的详细信息,请参阅监视 Azure Databricks 计算平面映像中的代理

  • 群集内和出口通信使用 TLS 1.2 加密或更高版本,包括连接到元存储。

要求

第 1 步:为合规性安全配置文件准备工作区

在创建将启用安全配置文件的新工作区或在现有工作区上启用它时,请按照以下步骤操作。

  1. 如果工作区配置为限制出站网络访问,则必须将网络配置为额外允许流向端口 2443 的流量。 请参阅在 Azure 虚拟网络中部署 Azure Databricks(VNet 注入)
  2. 运行以下测试来验证是否已正确应用更改:
    1. 使用一个驱动程序、一个辅助角色、任何 DBR 版本和任何受支持的实例类型启动 Databricks 群集。
    2. 确认群集进入了“正在运行”状态。

第 2 步:在工作区上启用合规性安全配置文件

注意

在已启用合规性安全配置文件的工作区上,默认情况下会禁用 Databricks 助手。 工作区管理员可以按照“针对帐户:启用或禁用 Databricks 助手功能”中的说明来启用它。

  1. 启用合规性安全配置文件。

    若要使用 Azure 门户在工作区上启用合规性安全配置文件,请参阅使用 Azure 门户在新工作区上启用设置。 还可以使用 ARM 模板启用合规性安全配置文件。 请参阅使用 ARM 模板

    更新可能需要长达六个小时才能传播到所有环境。 正在活跃运行的工作负载将继续使用在启动计算资源时生效的设置,下次启动这些工作负载时,将应用新设置。

  2. 重启所有正在运行的计算。

第 3 步:确认是否为工作区启用了合规性安全配置文件

若要确认工作区正在使用合规性安全配置文件,请检查其用户界面中是否显示有黄色盾牌徽标。

  • 盾牌徽标显示在页面的右上角,工作区名称的左侧:

    盾牌徽标(小)。

  • 单击工作区名称以查看你有权访问的工作区的列表。 启用合规性安全配置文件的工作区有一个防护图标,后跟文本“合规性安全配置文件”。

    防护徽标(大)。

还可以从帐户控制台中的工作区页上的“安全性和合规性”选项卡中确认工作区是否正在使用合规性安全配置文件。

保护帐户。

如果启用了合规性安全配置文件的工作区缺少防护图标,请联系 Azure Databricks 客户团队。