Compliancesicherheitsprofil
In diesem Artikel wird das Compliancesicherheitsprofil und seine Compliancekontrollmechanismen beschrieben.
Übersicht über das Compliancesicherheitsprofil
Das Compliancesicherheitsprofil ermöglicht eine zusätzliche Überwachung, ein gehärtetes Computeimage sowie andere Features und Kontrollen in Azure Databricks-Arbeitsbereichen. Das Compliancesicherheitsprofil enthält Kontrollen, die dazu beitragen, die geltenden Sicherheitsanforderungen einiger Compliancestandards zu erfüllen. Das Aktivieren des Compliancesicherheitsprofils ist erforderlich, um Azure Databricks zum Verarbeiten von Daten zu verwenden, die gemäß den folgenden Compliancestandards geregelt sind:
Databricks empfiehlt dringend, das Compliancesicherheitsprofil für die Verarbeitung von Daten unter HIPAA zu aktivieren, ist jedoch nicht erforderlich.
Sie können das Compliancesicherheitsprofil auch für die erweiterten Sicherheitsfeatures aktivieren, ohne dass ein Compliancestandard eingehalten werden muss.
Wichtig
- Sie sind allein dafür verantwortlich, dass Sie alle geltenden Gesetze und Vorschriften einhalten.
- Bei PCI-DSS sind Sie allein dafür verantwortlich, dass das Compliancesicherheitsprofil und die entsprechenden Compliancestandards konfiguriert sind, bevor Sie regulierte Daten verarbeiten. Für die Verarbeitung von PHI-Daten empfiehlt Databricks dringend die Verwendung des Compliancesicherheitsprofils und die Auswahl des HIPAA-Compliancestandards.
Wenn Sie dieses Feature für einen Arbeitsbereich aktivieren, wird Ihnen das Add-On „Verbesserte Sicherheit und Konformität“ wie auf der Preisseite beschrieben in Rechnung gestellt.
Welche Computeressourcen erhalten erhöhte Sicherheit?
Die Verbesserungen des Compliancesicherheitsprofils gelten für Computeressourcen auf der klassischen Computeebene in allen Regionen.
Die Verbesserungen des Compliancesicherheitsprofils für HIPAA gelten außerdem für Computeressourcen auf der serverlosen Computeebene in allen Regionen.
Azure Databricks lässt das Starten serverloser Computeressourcen nicht zu, wenn PCI-DSS aktiviert ist.
Hinweis
Die meisten Azure-Instanztypen werden unterstützt, aber VMs der 2. Generation (Gen2) und Arm64-basierte VMs werden nicht unterstützt. Azure Databricks lässt das Starten von Compute mit diesen Instanztypen nicht zu, wenn das Compliancesicherheitsprofil aktiviert ist.
Weitere Informationen zur Architektur der Computeebenen finden Sie in der Übersicht über die Azure Databricks-Architektur.
Features des Compliancesicherheitsprofils und technische Kontrollmechanismen
Zu den Sicherheitserweiterungen gehören:
Ein verbessertes gehärtetes Betriebssystemimage auf Basis von Ubuntu Advantage.
Ubuntu Advantage ist ein Paket für Unternehmenssicherheit und -unterstützung für Open-Source-Infrastrukturen und -Anwendungen, das ein auf CIS-Level 1 gehärtetes Image enthält.
Die automatische Clusteraktualisierung wird automatisch aktiviert.
Cluster werden neu gestartet, um die aktuellen Updates während eines Wartungsfensters, das Sie konfigurieren können, regelmäßig abzurufen. Siehe Automatic cluster update (Automatisches Clusterupdate).
Die erweiterte Sicherheitsüberwachung wird automatisch aktiviert.
Sicherheitsüberwachungs-Agents generieren Protokolle, die Sie überprüfen können. Weitere Informationen zu den Überwachungs-Agents finden Sie unter Überwachungs-Agents in Azure Databricks-Computeimages.
Für die Kommunikation innerhalb des Clusters und für ausgehenden Datenverkehr wird eine Verschlüsselung mit TLS 1.2 oder höher verwendet, auch für die Verbindung mit dem Metastore.
Anforderungen
- Ihr Azure Databricks-Arbeitsbereich befindet sich im Premium-Tarif.
Schritt 1: Vorbereiten eines Arbeitsbereichs für das Compliancesicherheitsprofil
Führen Sie die folgenden Schritte aus, wenn Sie einen neuen Arbeitsbereich mit aktiviertem Sicherheitsprofil erstellen oder in einem vorhandenen Arbeitsbereich aktivieren.
- Wenn der Arbeitsbereich zum Einschränken des ausgehenden Netzwerkzugriffs konfiguriert ist, müssen Sie Ihr Netzwerk so konfigurieren, dass zusätzlich Datenverkehr an Port 2443 zugelassen wird. Weitere Informationen finden Sie unter Bereitstellen von Azure Databricks in Ihrem virtuellen Azure-Netzwerk (VNet-Injektion).
- Führen Sie die folgenden Tests aus, um zu überprüfen, ob die Änderungen ordnungsgemäß angewendet wurden:
- Starten Sie einen Databricks-Cluster mit einem Treiber, einem Worker, einer beliebigen DBR-Version und einem beliebigen unterstützten Instanztyp.
- Vergewissern Sie sich, dass der Cluster in den Zustand Wird ausgeführt wechselt.
Schritt 2: Aktivieren des Compliancesicherheitsprofils für einen Arbeitsbereich
Hinweis
Der Databricks-Assistent ist standardmäßig für Arbeitsbereiche deaktiviert, für die das Compliancesicherheitsprofil aktiviert ist. Arbeitsbereichsadministratoren können ihn aktivieren, indem sie die Anweisungen Für ein Konto: Deaktivieren oder Aktivieren des Databricks-Assistentenfeatures befolgen.
Aktivieren Sie das Compliancesicherheitsprofil.
Informationen zum Verwenden des Azure-Portals zum Aktivieren des Compliancesicherheitsprofils für einen Arbeitsbereich finden Sie unter Verwenden des Azure-Portals zum Aktivieren von Einstellungen für einen neuen Arbeitsbereich. Sie können auch eine ARM-Vorlage verwenden, um das Compliancesicherheitsprofil zu aktivieren. Siehe Verwenden einer ARM-Vorlage.
Updates können bis zu sechs Stunden dauern, bis sie an alle Umgebungen weitergegeben werden. Workloads, die aktiv ausgeführt werden, werden mit den Einstellungen fortgesetzt, die beim Starten der Computeressource aktiv waren, und neue Einstellungen werden beim nächsten Start dieser Workloads angewendet.
Starten Sie alle laufenden Computevorgänge neu.
Schritt 3: Bestätigen, dass das Compliancesicherheitsprofil für einen Arbeitsbereich aktiviert ist
Um zu bestätigen, dass ein Arbeitsbereich das Compliancesicherheitsprofil verwendet, überprüfen Sie, ob das gelbe Schildlogo auf der Benutzeroberfläche angezeigt wird.
Ein Schildlogo wird in der oberen rechten Ecke der Seite links neben dem Arbeitsbereichsnamen angezeigt:
Klicken Sie auf den Arbeitsbereichsnamen, um eine Liste der Arbeitsbereiche anzuzeigen, auf die Sie Zugriff haben. Die Arbeitsbereiche, für die das Compliancesicherheitsprofil aktiviert ist, verfügen über ein Schildsymbol gefolgt vom Text „Compliancesicherheitsprofil“.
Sie können auch bestätigen, dass ein Arbeitsbereich das Compliancesicherheitsprofil auf der Registerkarte Sicherheit und Compliance auf der Arbeitsbereichsseite der Kontokonsole verwendet.
Wenn die Schildsymbole für einen Arbeitsbereich mit aktiviertem Compliancesicherheitsprofil fehlen, wenden Sie sich an Ihr Azure Databricks-Kontoteam.