合規性安全性配置檔

本文說明合規性安全性配置檔及其合規性控制。

合規性安全性配置檔概觀

合規性安全性配置檔可啟用其他監視、強化的計算映像，以及 Azure Databricks 工作區上的其他功能和控件。 合規性安全性配置檔包含可協助符合某些合規性標準適用安全性需求的控件。 必須啟用合規性安全性配置檔，才能使用 Azure Databricks 來處理 PCI-DSS 合規性下管制的數據，並建議處理受 HIPAA 合規性規範規範的數據。

您也可以選擇為其增強的安全性功能啟用合規性安全性配置檔，而不需要符合合規性標準。

重要

• 您完全負責確保自己遵守所有適用的法律和法規。
• 針對PCI-DSS，您只負責確保合規性安全性配置檔和適當的合規性標準已設定，再處理受管制的數據。 為了處理 PHI 數據，Databricks 強烈建議使用合規性安全性配置檔，並選取 HIPAA 合規性標準。

如果您在任何工作區上啟用這項功能，則會如定價頁面上所述，向您收取增強式安全性與合規性附加元件的費用。

哪些計算資源獲得增強的安全性

合規性安全性配置檔增強功能適用於所有區域中傳統計算平面中的計算資源。

HIPAA 的合規性安全性配置檔增強功能適用於所有區域中無伺服器計算平面中的計算資源。

啟用PCI-DSS時，Azure Databricks 不允許啟動無伺服器計算資源。

注意

大部分的 Azure 實例類型都受到支援，但 不支援第 2 代 （Gen2） 和 Arm64 型虛擬機。 啟用合規性安全性配置檔時，Azure Databricks 不允許使用這些實例類型啟動計算。

合規性安全性配置檔功能和技術控制

安全性增強功能包括：

• 以Ubuntu優勢為基礎的增強式強化操作系統映像。

  Ubuntu 優勢是企業安全性的套件，並支援包含 CIS 層級 1 強化映像的 開放原始碼 基礎結構和應用程式。

• 自動啟用叢集更新。

  叢集會重新啟動，以在您可以設定的維護期間定期取得最新的更新。 請參閱 自動叢集更新。

• 自動啟用增強式安全性監視。

  安全性監視代理程式會產生您可以檢閱的記錄。 如需監視代理程式的詳細資訊，請參閱 Azure Databricks 計算平面影像中的監視代理程式。

• 叢集內的通訊和輸出會使用 TLS 1.2 加密或更新版本，包括連線到中繼存放區。

需求

• 您的 Azure Databricks 工作區位於 進階版 定價層。

步驟 1：準備合規性安全性配置檔的工作區

當您在現有工作區上建立已啟用安全性設定檔或啟用安全性配置檔的新工作區時，請遵循下列步驟。

1. 如果工作區設定為限制輸出網路存取，您必須將網路設定為允許埠 2443 的流量。 請參閱在 Azure 虛擬網路中部署 Azure Databricks （VNet 插入式插入）。
2. 執行下列測試以確認已正確套用變更：
   1. 使用一個驅動程式、一個背景工作角色、任何 DBR 版本，以及任何支援的實例類型啟動 Databricks 叢集。
   2. 確認叢集進入執行中狀態。

步驟 2：在工作區上啟用合規性安全性配置檔

注意

在已啟用合規性安全性配置檔的工作區上，預設會停用 Databricks Assistant 。 工作區管理員可以遵循啟用或停用 Databricks Assistant 的指示加以啟用。

1. 啟用合規性安全性配置檔。

   若要使用 Azure 入口網站 在工作區上啟用合規性安全性配置檔，請參閱使用 Azure 入口網站 在新工作區上啟用設定。 您也可以使用 ARM 範本來啟用合規性安全性設定檔。 請參閱 使用ARM範本。

   更新 最多可能需要六個小時才能傳播到所有環境。 正在主動執行的工作負載會繼續進行啟動計算資源時作用中的設定，而下次啟動這些工作負載時會套用新的設定。

2. 重新啟動所有執行中的計算。

步驟 3：確認工作區已啟用合規性安全性配置檔

若要確認工作區使用合規性安全性配置檔，請檢查工作區是否顯示 於使用者介面中的黃色盾牌標誌 。

• 盾牌標誌會出現在頁面右上方，工作區名稱左側：

  

• 按兩下工作區名稱，以查看您有權存取的工作區清單。 啟用合規性安全性配置檔的工作區具有盾牌圖示，後面接著文字「合規性安全性配置檔」。

  

您也可以從帳戶控制台工作區頁面上的 [安全性與合規性] 索引標籤，確認工作區正在使用合規性 安全性配置檔。

如果已啟用合規性安全性配置檔的工作區缺少防護圖示，請連絡您的 Azure Databricks 帳戶小組。