合規性安全性設定檔
本文說明合規性安全性設定檔及其合規性控制。
合規性安全性設定檔概觀
合規性安全性設定檔可啟用其他監視、強化的計算映像,以及 Azure Databricks 工作區上的其他功能和控制項。 合規性安全性設定檔包含可協助符合某些合規性標準適用安全性需求的控制項。 必須啟用合規性安全性設定檔,才能使用 Azure Databricks 來處理 PCI-DSS 合規性下規範的資料,且建議處理受 HIPAA 合規性規範的資料。
您也可以選擇為其增強的安全性功能啟用合規性安全性設定檔,而不需要符合合規性標準。
重要
- 您應承擔全部責任,確保您自己遵守所有適用法令規定。
- 針對 PCI-DSS,您只需負責在處理受規範的資料之前,先確保合規性安全性設定檔和適當的合規性標準已設定。 為了處理 PHI 資料,Databricks 強烈建議使用合規性安全性設定檔,並選取 HIPAA 合規性標準。
如果您在任何工作區上啟用此功能,則會如定價頁面上所述,向您收取增強式安全性與合規性附加元件的費用。
哪些計算資源獲得增強的安全性
合規性安全性設定檔增強功能,適用於所有區域傳統計算平面中的計算資源。
HIPAA 的合規性安全性設定檔增強功能也會套用至所有區域之無伺服器計算平面中的計算資源。
啟用 PCI-DSS 時,Azure Databricks 不允許啟動無伺服器計算資源。
注意
大部分的 Azure 執行個體類型都受到支援,但不支援第 2 代 (Gen2) 和 Arm64 型虛擬機器。 啟用合規性安全性設定檔時,Azure Databricks 不允許使用這些執行個體類型啟動計算。
如需更多有關計算平面結構的資訊,請參閱<Azure Databricks 結構概觀>。
合規性安全性設定檔功能和技術控制項
安全性增強功能包括:
以 Ubuntu Advantage 為基礎的增強式強化作業系統映像。
Ubuntu Advantage 是企業安全性和支援套件,適用於包含 CIS 層級 1 強化映像的開放原始碼基礎結構和應用程式。
自動叢集更新會自動啟用。
叢集會重新啟動,以便在您可以設定的維護期間定期取得最新的更新。 請參閱自動叢集更新。
增強式安全性監視會自動啟用。
安全性監視代理程式會產生您可以檢閱的記錄。 如需更多有關監視代理程式的資訊,請參閱<在 Azure Databricks 計算平面映像中的監視代理程式>。
叢集內的通訊和輸出會使用 TLS 1.2 加密或更新版本,包括對中繼存放區的連線。
需求
- 您的 Azure Databricks 工作區位於進階版定價層。
步驟 1:準備合規性安全性設定檔的工作區
建立已啟用安全性設定檔的新工作區,或是在現有工作區上加以啟用時,請遵循下列步驟。
- 如果工作區設定為限制輸出網路存取,您必須將網路設定為允許連接埠 2443 的流量。 請參閱<在 Azure 虛擬網路 (VNet 插入) 中部署 Azure Databricks>。
- 執行下列測試可驗證已正確套用變更:
- 使用一個驅動程式、一個背景工作角色、任何 DBR 版本,以及任何支援的執行個體類型來啟動 Databricks 叢集。
- 確認叢集進入執行中狀態。
步驟 2:在工作區上啟用合規性安全性設定檔
注意
在已啟用合規性安全性設定檔的工作區上,預設會停用 Databricks Assistant。 工作區管理員可以遵循<針對帳戶:停用或啟用 Databricks Assistant 功能>指示來啟用它。
啟用合規性安全性設定檔。
若要使用 Azure 入口網站在工作區上啟用合規性安全性設定檔,請參閱<使用 Azure 入口網站在新工作區上啟用設定>。 您也可以使用 ARM 範本來啟用合規性安全性設定檔。 請參閱<使用 ARM 範本>。
更新最多可能需要六個小時才能傳播到所有環境。 正在主動執行的工作負載會繼續進行啟動計算資源時作用中的設定,而新的設定會在下次啟動這些工作負載時套用。
重新啟動所有執行中的計算。
步驟 3:確認已為工作區啟用合規性安全性設定檔
若要確認工作區使用合規性安全性設定檔,請檢查工作區的使用者介面中是否顯示黃色盾牌標誌。
盾牌標誌會出現在頁面右上方,工作區名稱左側:
按一下工作區名稱可查看您有權存取的工作區清單。 啟用合規性安全性設定檔的工作區具有盾牌圖示,後面接著文字「合規性安全性設定檔」。
您也可以從帳戶控制台工作區頁面上的 [安全性與合規性] 索引標籤,確認工作區正在使用合規性安全性設定檔。
如果已啟用合規性安全性設定檔的工作區缺少盾牌圖示,請連絡您的 Azure Databricks 帳戶團隊。