Azure-beli biztonsági alapkonfiguráció az Azure Databrickshez
Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Databricksre. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és az Azure Databricksre vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
Az Azure Databricksre nem alkalmazható funkciók ki lettek zárva. Az Azure Databricks teljes biztonsági alapkonfiguráció-leképezési fájljában megtekintheti, hogy az Azure Databricks hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét.
Biztonsági profil
A biztonsági profil összefoglalja az Azure Databricks nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Elemzés, tárolás |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Databricks alapértelmezett üzembe helyezése egy teljes körűen felügyelt szolgáltatás az Azure-ban: minden adatsík-erőforrás, beleértve az összes fürthöz társított virtuális hálózatot is, egy zárolt erőforráscsoportban lesz üzembe helyezve. Ha azonban a hálózat testreszabására van szüksége, az Azure Databricks adatsík-erőforrásait a saját virtuális hálózatában (VNet-injektálás) helyezheti üzembe, így egyéni hálózati konfigurációkat valósíthat meg. Egyéni szabályokkal rendelkező saját hálózati biztonsági csoportot (NSG) alkalmazhat adott kimenő forgalomra.
Referencia: Databricks VNET-integráció
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Referencia: Hálózati biztonsági csoport
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Databricks-ügyfelek az IP-hozzáférési listák funkcióval meghatározhatják a jóváhagyott IP-címek készletét, hogy megakadályozzák a nyilvános IP-címekről vagy a nem jóváhagyott IP-címekről való hozzáférést.
Referencia: IP-hozzáférési lista a Databricksben
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Szolgáltatásjegyzetek: Az Azure Databricks automatikusan úgy van beállítva, hogy az Azure Active Directory (Azure AD) egyszeri bejelentkezést használjon a felhasználók hitelesítéséhez. A szervezeten kívüli felhasználóknak be kell fejezniük a meghívási folyamatot, és hozzá kell adni az Active Directory-bérlőhöz, mielőtt egyszeri bejelentkezéssel bejelentkezhetnek az Azure Databricksbe. Az SCIM implementálásával automatizálhatja a felhasználók kiépítését és megszüntetését a munkaterületekről.
Az Azure Databricks egyszeri bejelentkezésének ismertetése
ScIM API-k használata az Azure Databrickshez
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A felügyelt identitásokat nem támogató szolgáltatások esetén az Azure Active Directory (Azure AD) használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Konfigurálja a szolgáltatásneveket tanúsítványhitelesítő adatokkal, és térjen vissza az ügyfél titkos kulcsaihoz hitelesítés céljából.
Referencia: Szolgáltatásnév a Databricksben
IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Adatsík feltételes hozzáférése
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkció megjegyzései: Az Azure Databricks emellett támogatja az IP-hozzáférési listákat a webalkalmazás és a REST API biztonságosabbá tételéhez.
IP-hozzáférési listák a Databricksben
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Feltételes hozzáférés a Databricksben
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure Databricks támogatja az Azure Databricks által birtokolt és felügyelt titkosított adatbázisokban tárolt titkos kulcsok hatókörét is.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.
Referencia: Key Vault Integráció a Databricksben
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciómegjegyzések: Az Azure Databricks SCIM API-kkal kezelheti az Azure Databricks-munkaterület felhasználóit, és rendszergazdai jogosultságokat adhat a kijelölt felhasználóknak.
Az Azure Databricksben hozzáférés-vezérlési listákkal (ACL-ekkel) konfigurálhatja a különböző munkaterület-objektumok elérésére vonatkozó engedélyeket.
Hozzáférés-vezérlés a Databricksben
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Hozzáférés-vezérlés kezelése az Azure Databricksben
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Referencia: Ügyfélszéf
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Alapértelmezés szerint a fürt munkavégző csomópontjai között kicserélt adatok nincsenek titkosítva. Ha a környezet megköveteli, hogy az adatok mindig titkosítva legyenek, létrehozhat egy init szkriptet, amely konfigurálja a fürtöket a munkavégző csomópontok közötti forgalom titkosítására.
Konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyekbe beépített natív adattitkosítási funkció van beépítve. A HTTPS kényszerítése minden webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Referencia: Adattovábbítás alatt lévő adatok titkosítása a Databrickshez
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Inaktív adatok titkosítása platform által felügyelt kulcsokkal a Databricksben
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure Databricks két, ügyfél által felügyelt kulcsfunkcióval rendelkezik a különböző típusú adatokhoz.
Ügyfél által felügyelt kulcsok titkosításhoz
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Referencia: Inaktív adatok titkosítása CMK használatával a Databricksben
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Megjegyzés: Nem használhat Azure Databricks személyes hozzáférési jogkivonatot vagy Azure AD alkalmazásjogkivonatot, amely egy szolgáltatásnévhez tartozik.
Személyes hozzáférési jogkivonat elkerülése
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Referencia: Kulcskezelés a Databricksben
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Referencia: Databricks Azure Policy
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A naplózáshoz az Azure Databricks átfogó, teljes körű diagnosztikai naplókat biztosít az Azure Databricks-felhasználók által végzett tevékenységekről, így a vállalat figyelheti a részletes Azure Databricks-használati mintákat.
Vegye figyelembe, hogy az Azure Databricks diagnosztikai naplóihoz az Azure Databricks Premium-csomag szükséges.
Diagnosztikai beállítások engedélyezése az Azure-tevékenységnaplóhoz
Diagnosztikai beállítások engedélyezése az Azure Databrickshez
Referencia: Erőforrásnaplók a Databricksben
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Állapot- és biztonságirés-kezelés.
PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása
Funkciók
Egyéb útmutató a PV-3-hoz
Amikor létrehoz egy Azure Databricks-fürtöt, az alapszintű virtuálisgép-rendszerképeket hoz létre. A felhasználói kód a virtuális gépeken üzembe helyezett tárolókban fut. Implementáljon egy külső biztonságirés-kezelési megoldást. Ha rendelkezik biztonságirés-kezelési platform-előfizetéssel, használhatja az Azure Databricks inicializálási szkripteit, amelyek az egyes csomópontokon lévő tárolókban futnak, sebezhetőségi felmérési ügynököket telepíthet az Azure Databricks-fürtcsomópontokra, és kezelheti a csomópontokat a megfelelő portálon keresztül. Vegye figyelembe, hogy minden külső megoldás másként működik.
Databricks-fürtcsomópont inicializálási szkriptjei
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure Databricks-adatforrások esetében győződjön meg arról, hogy a használati esethez megfelelő szintű adatredundanciát konfigurált. Ha például Azure Storage-fiókot használ az Azure Databricks-adattárhoz, válassza a megfelelő redundancia lehetőséget (LRS, ZRS, GRS, RA-GRS).
Adatforrások az Azure Databrickshez
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Regionális vészhelyreállítás Azure Databricks-fürtökhöz
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről