Configurare impostazioni avanzate di sicurezza e conformità
Sicurezza e conformità avanzata è un componente aggiuntivo della piattaforma che fornisce sicurezza e controlli avanzati per le esigenze di conformità. Vedere la pagina dei prezzi. Questo articolo descrive come configurare le impostazioni di sicurezza e conformità avanzate nell'area di lavoro di Azure Databricks. Per l'area di lavoro di Azure Databricks deve essere stato selezionato il piano Premium.
Abilitare funzionalità avanzate di sicurezza e conformità tramite il portale di Azure
Nella portale di Azure fare clic sulla scheda Sicurezza e conformità in un'area di lavoro di Azure Databricks esistente o nella pagina di creazione dell'area di lavoro di Azure Databricks.
Per abilitare il profilo di sicurezza della conformità, selezionare la casella di controllo accanto a Abilita profilo di sicurezza della conformità. Nell'elenco a discesa selezionare uno o più standard di conformità o selezionare Nessuno.
Se si abilita il profilo di sicurezza della conformità o si aggiungono standard di conformità, tali selezioni sono permanenti per tale area di lavoro.
Per abilitare il monitoraggio della sicurezza avanzato, selezionare la casella di controllo Abilita monitoraggio della sicurezza avanzata.
Per abilitare l'aggiornamento automatico del cluster, selezionare la casella di controllo Abilita aggiornamento automatico del cluster.
Per configurare la finestra di manutenzione e la relativa frequenza, vedere Aggiornamento automatico del cluster
Abilitare le funzionalità avanzate di sicurezza e conformità usando un modello ARM (Azure Resource Manager)
È possibile configurare le funzionalità del componente aggiuntivo Sicurezza e conformità avanzata con un modello di Resource Manager fornito da Databricks. Contiene parametri aggiuntivi che è possibile impostare su Enabled o Disabled. Se si desidera aggiungerli a un modello esistente per aggiornare l'area di lavoro, è possibile farlo. È possibile impostare le funzionalità in modo indipendente, ad eccezione di quanto indicato:
-
complianceSecurityProfile: abilita il profilo di sicurezza della conformità. Una volta abilitata, questa funzionalità è abilitata in modo permanente nell'area di lavoro. -
complianceStandards: configura una matrice di standard di conformità da usare con il profilo di sicurezza di conformità.- Se
complianceSecurityProfileè impostato suDisabled, passare una matrice vuota. - Se
complianceSecurityProfileè impostato suEnabled, è necessario passare una matrice di una o più stringhe che specificano gli standard di conformità (se presenti) desiderati per l'area di lavoro. Le selezioni possibili sonoHIPAA,PCI_DSSoNONE. Aggiungere il singolo elemento di matriceNONEse si usa il profilo di sicurezza della conformità solo per i vantaggi di sicurezza, ma non per elaborare dati regolamentati.
- Se
-
enhancedSecurityMonitoring— Abilita il monitoraggio della sicurezza avanzato. Se il profilo di sicurezza della conformità è abilitato, è necessario impostare questa funzionalitàEnabledin modo esplicito nel modello. -
automaticClusterUpdate— Abilita l'aggiornamento automatico del cluster. Se il profilo di sicurezza della conformità è abilitato, è necessario impostare questa funzionalitàEnabledin modo esplicito nel modello. Per configurare la finestra di manutenzione e la relativa frequenza, vedere Aggiornamento automatico del cluster.
Per aggiornare un'area di lavoro con una o più di queste funzionalità, seguire le stesse istruzioni per la distribuzione di un modello personalizzato come si farebbe per la creazione di una nuova area di lavoro con un modello. Verificare tuttavia di usare il modello originale e quindi copiare i campi dal modello di esempio fornito nel modello di area di lavoro esistente.
Modello di area di lavoro con funzionalità avanzate di sicurezza e conformità
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": [
"standard",
"premium"
],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HIPAA", "PCI_DSS"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
Abilitare funzionalità avanzate di sicurezza e conformità con Terraform
È anche possibile abilitare sicurezza e conformità avanzata in un'area di lavoro di Azure Databricks usando il plug-in Terraform azurerm per Databricks. Per altre informazioni sul plug-in Terraform azurerm, vedere azurerm_databricks_workspace.
Ad esempio, per creare un'area di lavoro di Azure Databricks con i controlli di conformità HIPAA e PCI-DSS abilitati, usare quanto segue:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
enhanced_security_monitoring_enabled = true
}
}