Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Последние рекомендации по безопасности см. в документации по Azure Databricks.
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 для Azure Databricks. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Azure Databricks.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к Azure Databricks, были исключены. Чтобы узнать, как Azure Databricks полностью сопоставляется с эталонным показателем безопасности Microsoft Cloud Security, см. полный файл сопоставления базовых показателей безопасности Azure Databricks.
Профиль безопасности
Профиль безопасности обобщает поведение Azure Databricks, которое может привести к увеличению внимания к вопросам безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Аналитика, хранилище |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Сохраняет содержимое данных клиента в состоянии покоя | True |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Развертывание Azure Databricks по умолчанию — это полностью управляемая служба в Azure: все ресурсы плоскости данных, включая виртуальную сеть, с которыми будут связаны все кластеры, развертываются в заблокированной группе ресурсов. Однако при необходимости настройки сети можно развернуть ресурсы плоскости данных Azure Databricks в собственной виртуальной сети (внедрение виртуальной сети), что позволяет реализовать пользовательские конфигурации сети. Вы можете применить собственную группу безопасности сети (NSG) с настраиваемыми правилами к определенным ограничениям исходящего трафика.
Справочник. Интеграция виртуальной сети Databricks
Поддержка группы безопасности сети
Описание: Сетевой трафик службы учитывает правила назначения сетевых групп безопасности в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети (NSG) запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.
Справочник. Группа безопасности сети
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Отключение доступа к общедоступной сети
Описание: Служба поддерживает отключение доступа к общедоступной сети либо через использование правила фильтрации IP-адресов на уровне службы (не NSG или брандмауэра Azure), либо через переключатель "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Клиенты Azure Databricks могут использовать функцию списков доступа к IP-адресам для определения набора утвержденных IP-адресов, чтобы запретить доступ к общедоступным IP-адресам или неопробованным IP-адресам.
Справочник: список IP-доступа в Databricks
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется аутентификация в Azure AD для доступа к плоскости данных
Описание: Служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия в плоскости данных поддерживают аутентификацию с использованием управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Azure Databricks автоматически настраивается для использования единого входа Azure Active Directory (Azure AD) для проверки подлинности пользователей. Пользователи за пределами вашей организации должны завершить процесс приглашения и добавить их в клиент Active Directory, прежде чем они смогут войти в Azure Databricks с помощью единого входа. Вы можете реализовать SCIM для автоматизации предоставления и удаления пользователей в рабочих пространствах.
Общие сведения о едином входе в Azure Databricks
Использование API SCIM для Azure Databricks
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Субъекты-службы
Описание: Платформа данных поддерживает проверку подлинности с помощью сервисных принципалов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Для служб, которые не поддерживают управляемые удостоверения, используйте Azure Active Directory (Azure AD) для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Настройте служебные принципы с учетными данными сертификата и используйте секреты клиента в качестве резервного варианта для проверки подлинности.
Справочник. Субъект-служба в Databricks
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Кроме того, Azure Databricks поддерживает списки IP-доступа, чтобы сделать доступ к веб-приложению и REST API более безопасным.
Списки IP-доступа в Databricks
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Условный доступ в Databricks
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault
Описание: Плоскость управления данными поддерживает нативное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях: Azure Databricks также поддерживает область секрета, хранящуюся в зашифрованной базе данных, принадлежащей и управляемой Azure Databricks.
Области, поддерживаемые Databricks
Рекомендации по конфигурации: Убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как Azure Key Vault, вместо встраивания их в код или файлы конфигурации.
Референция: Интеграция Key Vault в Databricks
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание. Управление доступом в Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Api SCIM Azure Databricks можно использовать для управления пользователями в рабочей области Azure Databricks и предоставления правами администратора назначенным пользователям.
В Azure Databricks можно использовать списки управления доступом (ACL) для настройки разрешений на доступ к различным объектам рабочей области.
Управление доступом в Databricks
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник.Управление доступом в Azure Databricks
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защитный сейф для клиентов
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Ссылка: Customer Lockbox
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. По умолчанию обмен данными между рабочими узлами в кластере не шифруется. Если вашей среде требуется, чтобы данные шифрулись всегда, можно создать скрипт инициализации, который настраивает кластеры для шифрования трафика между рабочими узлами.
Руководство по настройке: Включите защищённый перенос данных в службах, где имеется встроенная функция шифрования данных в транзите. Принудительное применение ПРОТОКОЛА HTTPS в любых веб-приложениях и службах и обеспечение использования TLS версии 1.2 или более поздней версии. Устаревшие версии, такие как SSL 3.0, tls версии 1.0 должны быть отключены. Для удаленного управления виртуальными машинами используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола.
Справочник: Шифрование данных в транзите для Databricks
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование неактивных данных с помощью управляемых платформами ключей в Databricks
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях: Azure Databricks имеет два ключевых компонента, управляемых клиентом, для различных типов данных.
Использование ключей, управляемых клиентом, для шифрования
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник. Шифрование неактивных данных с помощью CMK в Databricks
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Обратите внимание, что вы не можете использовать личный маркер доступа Azure Databricks или маркер приложения Azure AD, принадлежащий субъекту-службе.
Избегайте использования персонального токена доступа
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротируйте и отзывайте ключи в Azure Key Vault и вашей службе по определенному расписанию или в случае вывода ключа из использования или его компрометации. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и указываются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Управление ключами в Databricks
Управление активами
Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Используйте Microsoft Defender для облачных решений, чтобы настроить политику Azure для аудита и применения конфигураций ваших Ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте политику Azure с эффектами [запретить] и [развернуть, если отсутствует] для обеспечения безопасной конфигурации ресурсов Azure.
Справочник. Политика Azure Databricks
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для предложения сервисов/продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Для ведения журнала аудита Azure Databricks предоставляет комплексные журналы диагностических журналов действий, выполняемых пользователями Azure Databricks, что позволяет вашей организации отслеживать подробные шаблоны использования Azure Databricks.
Примечание. Для журналов диагностики Azure Databricks требуется план Azure Databricks Premium.
Включение параметров диагностики для журнала действий Azure
Включение параметров диагностики для Azure Databricks
Справочные материалы: Журналы ресурсов в Databricks
Управление позицией и уязвимостью
Дополнительные сведения см. в документе Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Функции
Другие рекомендации по PV-3
При создании кластера Azure Databricks он создает базовые образы виртуальных машин. Пользовательский код выполняется в контейнерах, развернутых на виртуальных машинах. Реализуйте стороннее решение для управления уязвимостями. Если у вас есть подписка на платформу управления уязвимостями, вы можете использовать сценарии инициализации Azure Databricks, работающие в контейнерах на каждом узле, чтобы установить агенты оценки уязвимостей на узлах кластера Azure Databricks и управлять узлами с помощью соответствующего портала. Обратите внимание, что каждое стороннее решение работает по-разному.
Скрипты инициализации узлов кластера Databricks
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть резервно сохранена службой Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность встроенного резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Для источников данных Azure Databricks убедитесь, что вы настроили соответствующий уровень избыточности данных для вашего варианта использования. Например, при использовании учетной записи хранения Azure для хранилища данных Azure Databricks выберите соответствующий вариант избыточности (LRS, ZRS, GRS, RA-GRS).
Источники данных для Azure Databricks
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Региональное аварийное восстановление для кластеров Azure Databricks
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure