Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описывается настройка параметров повышенной безопасности и соответствия требованиям в рабочей области Azure Databricks.
Это важно
- Включение профиля безопасности соответствия или добавление стандартов соответствия в рабочую область предназначено для постоянного изменения.
- Вы не можете удалить профиль соответствия или отдельные стандарты из рабочей области, если он когда-либо обрабатывал регулируемые данные. Чтобы вернуться, необходимо удалить рабочую область и создать новую без профиля или другого стандарта. Для получения справки обратитесь в службу поддержки Azure Databricks.
Требования
- Рабочая область Azure Databricks находится на ценовой категории Premium.
- Учетная запись Databricks должна включать дополнение для повышения безопасности и соблюдения требований.
- Вы несете ответственность за проверку того, что конфиденциальная информация никогда не вводится в полях ввода, определенных клиентом, таких как имена рабочих областей, имена вычислительных ресурсов, теги, имена заданий, имена выполнения заданий, сетевые имена, имена учетных данных, имена учетных записей хранения и идентификаторы репозитория Git или URL-адреса репозитория. Эти поля могут храниться, обрабатываться или иметь доступ за пределами границы соответствия.
Требования к профилю безопасности соответствия требованиям
Если рабочая область настроена для ограничения исходящего сетевого доступа, необходимо настроить сеть для дополнительного разрешения трафика на порт 2443. См. развертывание Azure Databricks в виртуальной сети Azure (инъекция VNet).
Виртуальные машины на основе Arm64 не поддерживаются. Azure Databricks не разрешает запуск вычислений с типами экземпляров виртуальных машин на основе Arm64 при включении профиля безопасности соответствия.
Шифрование в Azure Virtual Network должно быть включено в вашей рабочей области. См. Что такое шифрование в Azure Virtual Network?
Необходимо использовать тип экземпляра виртуальной машины, поддерживающий шифрование Azure Virtual Network. См. Azure Virtual Network требования к шифрованию.
Замечание
В рабочих областях, где включен профиль безопасности, соответствующий нормативам, параметр функций ИИ, на базе технологий партнеров по умолчанию отключен. Некоторые вспомогательные функции ИИ Databricks, включая Код Genie, также отключены. Администраторы рабочей области могут включить эти функции, включив функции ИИ с поддержкой партнеров.
Включение расширенных функций безопасности и соответствия требованиям в рабочей области
Вы можете создать рабочую область с расширенными функциями безопасности и соответствия требованиям с помощью портала Azure, Azure CLI, Powershell, шаблона ARM или Terraform.
Использовать портал Azure
На портале Azure нажмите Settings > Безопасность и соответствие в существующей рабочей области Azure Databricks или на странице создания рабочей области Azure Databricks.
Чтобы включить профиль безопасности соответствия требованиям, установите флажок рядом с Включить профиль безопасности соответствия. В раскрывающемся списке выберите один или несколько стандартов соответствия или выберите None. В раскрывающемся списке перечислены стандарты соответствия, доступные в регионе рабочей области.
Если включить профиль безопасности соответствия или добавить стандарты соответствия требованиям, эти выборы являются постоянными для этой рабочей области.
Чтобы включить расширенный мониторинг безопасности, установите флажок Включить расширенный мониторинг безопасности.
Чтобы включить автоматическое обновление кластера, установите флажок Включить автоматическое обновление кластера.
Сведения о настройке периода обслуживания и его частоте см. в разделе Автоматическое обновление кластера
Используйте Azure CLI
Вы можете создать рабочую область с расширенными функциями безопасности и соответствия требованиям с помощью Azure CLI. Возможные стандарты соответствия: HIPAA, , PCI_DSS, HITRUSTIRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_Bили NONE. Вы можете выбрать несколько стандартов соответствия. Рассмотрим пример.
az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring
Использование PowerShell
Вы можете создать рабочую область с расширенными функциями безопасности и соответствия требованиям с помощью PowerShell. Возможные стандарты соответствия: HIPAA, , PCI_DSS, HITRUSTIRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_Bили NONE. Вы можете выбрать несколько стандартов соответствия. Рассмотрим пример.
New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")
Использование шаблона ARM
Вы можете настроить функции надстройки повышенной безопасности и соответствия требованиям с помощью шаблона ARM, который предоставляет Databricks. Он содержит дополнительные параметры, которые можно задать для Enabled или Disabled. Если вы хотите добавить их в существующий шаблон для обновления рабочей области, это можно сделать. Вы можете самостоятельно задать функции, кроме указанных ниже.
-
complianceSecurityProfile: активирует профиль безопасности соответствия. После включения эта функция постоянно включена в рабочей области. -
complianceStandards: настраивает массив стандартов соответствия требованиям для использования с профилем безопасности соответствия.- Если
complianceSecurityProfileзадано значениеDisabled, передайте пустой массив. - Если для
complianceSecurityProfileзадано значениеEnabled, необходимо передать массив из одной или нескольких строк, которые указывают, какие (если таковые) стандарты соответствия, необходимые для рабочей области. Возможные варианты выбора:HIPAA,PCI_DSS, ,HITRUSTIRAP_PROTECTEDUK_CYBER_ESSENTIALS_PLUS,CANADA_PROTECTED_BилиNONE. Добавьте один элементNONEмассива, если вы используете профиль безопасности соответствия только для его преимуществ безопасности, но не для обработки регулируемых данных.
- Если
-
enhancedSecurityMonitoring— обеспечивает расширенный мониторинг безопасности. Если профиль безопасности соответствия включён, необходимо явно указать эту функцию какEnabledв шаблоне. -
automaticClusterUpdate— включает автоматическое обновление кластера. Если профиль безопасности соответствия включён, необходимо явно указать эту функцию какEnabledв шаблоне. Сведения о настройке периода обслуживания и его частоте см. в разделе Автоматическое обновление кластера.
Чтобы обновить рабочую область с одной или несколькими этими функциями, выполните те же инструкции по развертыванию пользовательского шаблона, что и для создания новой рабочей области с помощью шаблона. Однако убедитесь, что вы используете исходный шаблон, а затем скопируйте поля из предоставленного примера шаблона в существующий шаблон рабочей области.
Шаблон рабочей области с расширенными функциями безопасности и соответствия требованиям
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": ["standard", "premium"],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HITRUST"],
["IRAP_PROTECTED"],
["UK_CYBER_ESSENTIALS_PLUS"],
["CANADA_PROTECTED_B"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
Используйте Terraform
Усиленную безопасность и соблюдение стандартов можно также активировать в Azure Databricks рабочей области с помощью плагина azurerm Terraform к Databricks. При использовании Terraform, только HIPAAPCI_DSSили NONE можно добавить в качестве стандартов соответствия. Другие стандарты соответствия должны быть настроены с помощью портала Azure, Azure CLI, PowerShell или шаблонов ARM.
Дополнительные сведения о подключаемом модуле Terraform azurerm см. в azurerm_databricks_workspace.
Например, чтобы создать рабочую область Azure Databricks с включенными элементами управления соответствием, используйте следующее:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "NONE"]
enhanced_security_monitoring_enabled = true
}
}
Убедитесь, что профиль безопасности соответствия включен для рабочей области
Вы можете подтвердить, что рабочая область использует профиль безопасности соответствия требованиям на вкладке Безопасность и соответствие требованиям на странице рабочей области в консоли учетной записи.
Рабочая область также имеет логотип щита, отображаемый в пользовательском интерфейсе рабочей области. Логотип щита отображается в правом верхнем углу страницы справа от имени рабочей области. Щелкните имя рабочей области, чтобы просмотреть список рабочих областей, к которым у вас есть доступ. Рабочие области, которые поддерживают профиль безопасности для соответствия требованиям, имеют значок щита.
Если значки щита отсутствуют для рабочей области с включенным профилем безопасности соответствия, обратитесь к команде учетной записи Azure Databricks.