Partilhar via


Definir configurações aprimoradas de segurança e conformidade

O Enhanced Security and Compliance é um complemento de plataforma que fornece segurança e controles aprimorados para suas necessidades de conformidade. Veja a página de preços. Este artigo descreve como definir configurações aprimoradas de segurança e conformidade em seu espaço de trabalho do Azure Databricks. Seu espaço de trabalho do Azure Databricks deve estar no plano Premium.

Habilitar recursos aprimorados de segurança e conformidade usando o portal do Azure

  1. No portal do Azure, clique na guia Segurança e conformidade em um espaço de trabalho existente do Azure Databricks ou na página de criação do espaço de trabalho do Azure Databricks.

  2. Para habilitar o perfil de segurança de conformidade, select selecione a caixa de seleção ao lado de Habilitar perfil de segurança de conformidade. No menu suspenso, select um ou mais padrões de conformidade ou selectNenhum.

    Recursos complementares de Segurança e Conformidade Aprimoradas no portal do Azure para novos espaços de trabalho.

    Se você habilitar o perfil de segurança de conformidade ou adicionar padrões de conformidade, essas seleções serão permanentes para esse espaço de trabalho.

  3. Para habilitar o monitoramento de segurança aprimorado, select a caixa de seleção Habilitar monitoramento de segurança aprimorado.

  4. Para habilitar o cluster automático update, selecione a caixa de seleção Habilitar cluster automático updateselect.

    Para configurar a manutenção window e a sua frequência, consulte cluster automático update

Habilite recursos aprimorados de segurança e conformidade usando um modelo ARM

Você pode configurar os recursos do complemento Segurança Reforçada e Conformidade com um modelo ARM fornecido pelo Databricks. Ele contém parameters adicionais que você pode set para Enabled ou Disabled. Se quiser adicioná-los a um modelo existente para update do espaço de trabalho, pode fazê-lo. Você pode set funcionalidades de forma independente, exceto conforme indicado:

  • complianceSecurityProfile: Habilita o perfil de segurança de conformidade. Uma vez habilitado, esse recurso é habilitado permanentemente no espaço de trabalho.
  • complianceStandards: Configura uma matriz de padrões de conformidade para usar com o perfil de segurança de conformidade.
    • Se complianceSecurityProfile for igual a set em relação a Disabled, passe um array vazio.
    • Se complianceSecurityProfile for set para Enabled, você deverá passar um array de uma ou mais strings que especifiquem quais (se houver) padrões de conformidade você deseja para o seu espaço de trabalho. As seleções possíveis são HIPAA, PCI_DSSou NONE. Adicione o elemento NONE de matriz única se estiver usando o perfil de segurança de conformidade apenas por seus benefícios de segurança, mas não para processar dados regulamentados.
  • enhancedSecurityMonitoring — permite um monitoramento de segurança aprimorado. Se o perfil de segurança de conformidade estiver habilitado, você deverá set esse recurso para Enabled explicitamente no modelo.
  • automaticClusterUpdate — Habilita o cluster updateautomaticamente. Se o perfil de segurança de conformidade estiver habilitado, você deverá set esse recurso para Enabled explicitamente no modelo. Para configurar a manutenção window e a sua frequência, consulte Automatização do cluster update.

Para update um espaço de trabalho com um ou mais desses recursos, siga as mesmas instruções para implantar um modelo personalizado como faria para criar um novo espaço de trabalho com um modelo. No entanto, verifique se você usa seu modelo original e, em seguida, copie os campos do modelo de exemplo fornecido para seu modelo de espaço de trabalho existente.

Modelo de espaço de trabalho com recursos aprimorados de segurança e conformidade

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": [
        "standard",
        "premium"
      ],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
  "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
  "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
  "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
  "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HIPAA", "PCI_DSS"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

Habilite recursos aprimorados de segurança e conformidade usando o Terraform

Segurança e conformidade aprimoradas também podem ser habilitadas em um espaço de trabalho do Azure Databricks usando o plug-in azurerm Terraform para Databricks. Para obter mais informações sobre o plug-in azurerm Terraform, consulte azurerm_databricks_workspace.

Por exemplo, para criar um espaço de trabalho do Azure Databricks com HIPAA e PCI-DSS controles de conformidade habilitados, use o seguinte:

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
  enhanced_security_monitoring_enabled  = true
  }
}