Standardní hodnoty zabezpečení Azure pro Azure Databricks
Tyto standardní hodnoty zabezpečení aplikují na Azure Databricks pokyny ze srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Azure Databricks.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na Azure Databricks, byly vyloučeny. Pokud chcete zjistit, jak se Azure Databricks kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Databricks.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure Databricks s vysokým dopadem, které může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | Analýza, úložiště |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Výchozí nasazení Azure Databricks je plně spravovaná služba v Azure: všechny prostředky roviny dat, včetně virtuální sítě, ke které budou přidružené všechny clustery, se nasadí do uzamčené skupiny prostředků. Pokud však vyžadujete přizpůsobení sítě, můžete prostředky roviny dat Azure Databricks nasadit ve vlastní virtuální síti (injektáž virtuální sítě), což vám umožní implementovat vlastní konfigurace sítě. Na konkrétní omezení odchozího provozu můžete použít vlastní skupinu zabezpečení sítě (NSG) s vlastními pravidly.
Referenční informace: Integrace virtuální sítě Databricks
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Skupiny zabezpečení sítě (NSG) slouží k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a nástrojů pro vyrovnávání zatížení Azure.
Referenční informace: Skupina zabezpečení sítě
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zákazníci Azure Databricks můžou pomocí funkce přístupových seznamů IP adres definovat sadu schválených IP adres, aby zabránili přístupu z veřejných IP adres nebo neschválené IP adresy.
Referenční informace: Přístupový seznam IP adres v Databricks
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Služba Azure Databricks je automaticky nastavená tak, aby k ověřování uživatelů používala jednotné přihlašování Azure Active Directory (Azure AD). Uživatelé mimo vaši organizaci musí dokončit proces pozvání a být přidáni do tenanta Služby Active Directory, aby se mohli přihlásit k Azure Databricks prostřednictvím jednotného přihlašování. Implementací SCIM můžete automatizovat zřizování a rušení zřizování uživatelů z pracovních prostorů.
Principy jednotného přihlašování pro Azure Databricks
Jak používat rozhraní API SCIM pro Azure Databricks
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro služby, které nepodporují spravované identity, použijte Azure Active Directory (Azure AD) k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Nakonfigurujte instanční objekty pomocí přihlašovacích údajů certifikátu a vraťte se k tajným klíčům klienta pro ověřování.
Referenční informace: Instanční objekt v Databricks
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Databricks navíc podporuje přístupové seznamy IP adres, aby byl přístup k webové aplikaci a rozhraní REST API bezpečnější.
Seznamy přístupu IP v Databricks
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Podmíněný přístup v Databricks
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Databricks také podporuje obor tajného kódu uložený v šifrované databázi vlastněné a spravované službou Azure Databricks.
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Referenční informace: integrace Key Vault v Databricks
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Rozhraní API azure Databricks SCIM můžete použít ke správě uživatelů v pracovním prostoru Azure Databricks a udělení oprávnění správce určeným uživatelům.
Jak používat rozhraní API SCIM
V Azure Databricks můžete pomocí seznamů řízení přístupu (ACL) nakonfigurovat oprávnění pro přístup k různým objektům pracovního prostoru.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Správa řízení přístupu v Azure Databricks
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí každé žádosti Microsoftu o přístup k datům.
Referenční informace: Customer Lockbox
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Ve výchozím nastavení nejsou data vyměňovaná mezi pracovními uzly v clusteru šifrovaná. Pokud vaše prostředí vyžaduje, aby se data neustále šifrovala, můžete vytvořit inicializační skript, který nakonfiguruje clustery tak, aby šifrovaly provoz mezi pracovními uzly.
Pokyny ke konfiguraci: Povolte zabezpečený přenos ve službách, kde je integrovaná funkce nativního šifrování přenášených dat. Vynucujte https u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0 nebo TLS v1.0, by měly být zakázané. Pro vzdálenou správu Virtual Machines použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows).
Referenční informace: Šifrování přenášených dat pro Databricks
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Šifrování neaktivních uložených dat pomocí klíčů spravovaných platformou v Databricks
DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování dat v klidovém stavu pomocí CMK
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Databricks má dvě klíčové funkce spravované zákazníkem pro různé typy dat.
Klíče pro šifrování spravované zákazníkem
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde se vyžaduje šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Šifrování dat v klidovém stavu pomocí CMK v Databricks
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Poznámka: Nemůžete použít token osobního přístupu Azure Databricks ani token aplikace Azure AD, který patří instančnímu objektu.
Vyhněte se tokenu osobního přístupu
Pokyny ke konfiguraci: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměňujte a odvolávejte klíče v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě, že dojde k vyřazení nebo ohrožení zabezpečení klíče. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované v Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud potřebujete do služby přinést vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční generování a přenos klíče.
Referenční informace: Správa klíčů v Databricks
Správa aktiv
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
AM-2: Používejte jenom schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor slouží k vytváření upozornění, když se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Databricks Azure Policy
Protokolování a detekce hrozeb
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro protokolování auditu poskytuje Azure Databricks komplexní kompletní diagnostické protokoly aktivit prováděných uživateli Azure Databricks, což vašemu podniku umožňuje monitorovat podrobné vzorce využití Azure Databricks.
Poznámka: Diagnostické protokoly Azure Databricks vyžadují plán Azure Databricks Premium.
Povolení nastavení diagnostiky pro protokol aktivit Azure
Povolení nastavení diagnostiky pro Azure Databricks
Referenční informace: Protokoly prostředků v Databricks
Správa stavu a ohrožení zabezpečení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Stav a správa ohrožení zabezpečení.
PV-3: Definování a zřízení zabezpečených konfigurací pro výpočetní prostředky
Funkce
Další pokyny pro PV-3
Když vytvoříte cluster Azure Databricks, spustí se základní image virtuálních počítačů. Kód uživatele se spouští v kontejnerech nasazených na virtuálních počítačích. Implementujte řešení pro správu ohrožení zabezpečení od jiného výrobce. Pokud máte předplatné platformy pro správu ohrožení zabezpečení, můžete pomocí inicializačních skriptů Azure Databricks, které běží v kontejnerech na jednotlivých uzlech, nainstalovat agenty posouzení ohrožení zabezpečení na uzly clusteru Azure Databricks a spravovat uzly prostřednictvím příslušného portálu. Mějte na paměti, že každé řešení třetích stran funguje jinak.
Inicializační skripty uzlu clusteru Databricks
Backup a obnovení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Schopnost zálohování nativní služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Pro zdroje dat Azure Databricks se ujistěte, že jste pro svůj případ použití nakonfigurovali odpovídající úroveň redundance dat. Pokud například pro úložiště dat Azure Databricks používáte účet služby Azure Storage, zvolte vhodnou možnost redundance (LRS, ZRS, GRS, RA-GRS).
Zdroje dat pro Azure Databricks
Pokyny ke konfiguraci: Microsoft v současné době neobsahuje žádné pokyny ke konfiguraci této funkce. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Regionální zotavení po havárii pro clustery Azure Databricks
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure