Profilo di sicurezza della conformità

Questo articolo descrive il profilo di sicurezza della conformità e i relativi controlli di conformità.

Panoramica del profilo di sicurezza della conformità

Il profilo di sicurezza della conformità consente un monitoraggio aggiuntivo, un'immagine di calcolo con protezione avanzata e altre funzionalità e controlli nelle aree di lavoro di Azure Databricks. Il profilo di sicurezza della conformità include controlli che consentono di soddisfare i requisiti di sicurezza applicabili di alcuni standard di conformità. L'abilitazione del profilo di sicurezza della conformità è necessaria per usare Azure Databricks per elaborare i dati regolamentati in conformità PCI-DSS ed è consigliabile elaborare i dati regolamentati in conformità HIPAA .

È anche possibile scegliere di abilitare il profilo di sicurezza della conformità per le funzionalità di sicurezza avanzate senza la necessità di conformarsi a uno standard di conformità.

Importante

• L'utente è esclusivamente responsabile della conformità con tutte le leggi e le normative applicabili.
• Per PCI-DSS, l'utente è esclusivamente responsabile di garantire che il profilo di sicurezza della conformità e gli standard di conformità appropriati siano configurati prima di elaborare i dati regolamentati. Per l'elaborazione dei dati PHI, Databricks consiglia vivamente di usare il profilo di sicurezza della conformità e di selezionare lo standard di conformità HIPAA.

Se si abilita questa funzionalità in qualsiasi area di lavoro, vengono addebitati i costi per il componente aggiuntivo Sicurezza avanzata e conformità, come descritto nella pagina dei prezzi.

Quali risorse di calcolo ottengono una sicurezza avanzata

I miglioramenti del profilo di sicurezza della conformità si applicano alle risorse di calcolo nel piano di calcolo classico in tutte le aree.

I miglioramenti del profilo di sicurezza della conformità per HIPAA si applicano alle risorse di calcolo nel piano di calcolo serverless in tutte le aree.

Azure Databricks non consente l'avvio di risorse di calcolo serverless quando PCI-DSS è abilitato.

Nota

La maggior parte dei tipi di istanza di Azure è supportata, ma le macchine virtuali basate su Arm64 e di seconda generazione non sono supportate. Azure Databricks non consente l'avvio del calcolo con tali tipi di istanza quando il profilo di sicurezza della conformità è abilitato.

Funzionalità del profilo di sicurezza della conformità e controlli tecnici

I miglioramenti della sicurezza includono:

• Immagine avanzata del sistema operativo basata su Ubuntu Advantage.

  Ubuntu Advantage è un pacchetto di sicurezza aziendale e supporto per l'infrastruttura open source e le applicazioni che includono un'immagine con protezione avanzata di livello 1 CIS.

• L'aggiornamento automatico del cluster viene abilitato automaticamente.

  I cluster vengono riavviati per ottenere periodicamente gli aggiornamenti più recenti durante una finestra di manutenzione che è possibile configurare. Vedere Aggiornamento automatico del cluster.

• Il monitoraggio avanzato della protezione è abilitato automaticamente.

  Gli agenti di monitoraggio della sicurezza generano log che è possibile esaminare. Per altre informazioni sugli agenti di monitoraggio, vedere Monitoring agents in Azure Databricks compute plane images (Agenti di monitoraggio nelle immagini del piano di calcolo di Azure Databricks).

• Le comunicazioni all'interno del cluster e per l'uscita usano la crittografia TLS 1.2 o versione successiva, inclusa la connessione al metastore.

Requisiti

• L'area di lavoro di Azure Databricks è nel piano tariffario Premium.

Passaggio 1: Preparare un'area di lavoro per il profilo di sicurezza della conformità

Seguire questa procedura quando si creano nuove aree di lavoro con il profilo di sicurezza abilitato o abilitarlo in un'area di lavoro esistente.

1. Se l'area di lavoro è configurata per limitare l'accesso alla rete in uscita, è necessario configurare la rete per consentire anche il traffico verso la porta 2443. Vedere Distribuire Azure Databricks nella rete virtuale di Azure (inserimento reti virtuali).
2. Eseguire i test seguenti per verificare che le modifiche siano state applicate correttamente:
   1. Avviare un cluster Databricks con un driver, un ruolo di lavoro, qualsiasi versione DBR e qualsiasi tipo di istanza supportato.
   2. Verificare che il cluster entri nello stato In esecuzione .

Passaggio 2: Abilitare il profilo di sicurezza della conformità in un'area di lavoro

Nota

Databricks Assistant è disabilitato per impostazione predefinita nelle aree di lavoro che hanno abilitato il profilo di sicurezza della conformità. Gli amministratori dell'area di lavoro possono abilitarlo seguendo le istruzioni Abilita o disabilita Assistente Databricks.

1. Abilitare il profilo di sicurezza della conformità.

   Per usare il portale di Azure per abilitare il profilo di sicurezza della conformità in un'area di lavoro, vedere Usare portale di Azure per abilitare le impostazioni in una nuova area di lavoro. È anche possibile usare un modello di Resource Manager per abilitare il profilo di sicurezza della conformità. Vedere Usare un modello di Resource Manager.

   Aggiornamenti potrebbero essere necessarie fino a sei ore per propagarsi in tutti gli ambienti. I carichi di lavoro in esecuzione continuano con le impostazioni attive al momento dell'avvio della risorsa di calcolo e le nuove impostazioni si applicano alla successiva avvio di questi carichi di lavoro.

2. Riavviare tutto il calcolo in esecuzione.

Passaggio 3: Verificare che il profilo di sicurezza di conformità sia abilitato per un'area di lavoro

Per verificare che un'area di lavoro usi il profilo di sicurezza della conformità, verificare che sia visualizzato il logo scudo giallo nell'interfaccia utente.

• Nella parte superiore destra della pagina viene visualizzato un logo shield a sinistra del nome dell'area di lavoro:

  

• Fare clic sul nome dell'area di lavoro per visualizzare un elenco delle aree di lavoro a cui si ha accesso. Le aree di lavoro che abilitano il profilo di sicurezza della conformità hanno un'icona di schermata seguita dal testo "Profilo di sicurezza della conformità".

  

È anche possibile verificare che un'area di lavoro usi il profilo di sicurezza della conformità dalla scheda Sicurezza e conformità nella pagina dell'area di lavoro nella console dell'account.

Se mancano le icone dello scudo per un'area di lavoro con il profilo di sicurezza di conformità abilitato, contattare il team dell'account Azure Databricks.