コンプライアンス セキュリティ プロファイル

  • [アーティクル]

この記事では、コンプライアンス セキュリティ プロファイルとそのコンプライアンス コントロールについて説明します。

コンプライアンス セキュリティ プロファイルの概要

コンプライアンス セキュリティ プロファイルを使用すると、Azure Databricks ワークスペースでの追加の監視、強化されたコンピューティング イメージ、その他の機能と制御が可能になります。 コンプライアンス セキュリティ プロファイルには、いくつかのコンプライアンス標準の該当するセキュリティ要件を満たすのに役立つコントロールが含まれています。 コンプライアンス セキュリティ プロファイルを有効にすることは、PCI-DSS コンプライアンスの下で規制されているデータの処理に Azure Databricks を使用する場合は必須であり、HIPAA コンプライアンスの下で規制されているデータを処理する場合は推奨されます。

また、コンプライアンス標準に準拠しなくても、強化されたセキュリティ機能のコンプライアンス セキュリティ プロファイルを有効にすることを選択できます。

重要

  • 適用されるすべての法律と規制に対する独自のコンプライアンスの確保については、お客様のみの責任で行っていただきます。
  • PCI-DSS の場合、規制されたデータを処理する前に、コンプライアンス セキュリティ プロファイルと適切なコンプライアンス標準が構成されていることは、お客様が確認する必要があります。 PHI データを処理する場合、Databricks では、コンプライアンス セキュリティ プロファイルを使い、HIPAA コンプライアンス標準を選ぶことを強く推奨しています。

任意のワークスペースでこの機能を有効にした場合、価格ページで説明されているように、セキュリティとコンプライアンスの強化アドオンに対して課金されます。

セキュリティが強化されたコンピューティング リソース

コンプライアンス セキュリティ プロファイルの機能強化は、すべてのリージョンのクラシック コンピューティング プレーンのコンピューティング リソースに適用されます。

HIPAA のためのコンプライアンス セキュリティ プロファイルの機能強化は、すべてのリージョンのサーバーレス コンピューティング プレーンのコンピューティング リソースに適用されます。

PCI-DSS が有効になっている場合、Azure Databricks ではサーバーレス コンピューティング リソースの起動は許可されません。

Note

ほとんどの Azure インスタンスの種類はサポートされていますが、第 2 世代 (Gen2) および Arm64 ベースの仮想マシンはサポートされていません。 Azure Databricks では、コンプライアンス セキュリティ プロファイルが有効になっている場合、これらのインスタンスの種類でコンピューティングを開始することはできません。

コンプライアンス セキュリティ プロファイルの機能と技術コントロール

次のセキュリティの強化が含まれています。

  • Ubuntu Advantage に基づく強化されたオペレーティング システム イメージ。

    Ubuntu Advantage は、エンタープライズ セキュリティのパッケージであり、CIS レベル 1 の強化されたイメージを含むオープンソース インフラストラクチャとアプリケーションのサポートです。

  • 自動クラスター更新は自動的に有効になります。

    クラスターはメンテナンス期間 (構成できます) 中に定期的に再起動され、最新の更新プログラムが取得されます。 「自動クラスター更新」を参照してください。

  • 拡張セキュリティ監視が自動的に有効になります。

    セキュリティ監視エージェントによってログが生成され、それを確認することができます。 監視エージェントの詳細については、「Azure Databricks コンピューティング プレーン イメージの監視エージェント」を参照してください。

  • クラスター内およびエグレスの通信では、メタストアへの接続を含め、TLS 1.2 以上の暗号化が使用されます。

要件

手順 1: コンプライアンス セキュリティ プロファイル用のワークスペースを準備する

セキュリティ プロファイルを有効にして新しいワークスペースを作成するか、既存のワークスペースでセキュリティ プロファイルを有効にする場合は、次の手順に従います。

  1. ワークスペースが送信ネットワーク アクセスを制限するように構成されている場合は、ポート 2443 へのトラフィックを追加で許可するようにネットワークを構成する必要があります。 「Azure Virtual Network で Azure Databricks をデプロイする (VNet インジェクション)」を参照してください。
  2. 次のテストを実行して、変更が正しく適用されたことを確認します。
    1. 1 つのドライバー、1 つのワーカー、任意の DBR バージョン、およびサポートされているインスタンスの種類を使用して Databricks クラスターを起動します。
    2. クラスターが [実行中] の状態であることを確認します。

手順 2: ワークスペース上でコンプライアンス セキュリティ プロファイルを有効にする

Note

Databricks アシスタントは、コンプライアンス セキュリティ プロファイルが有効になっているワークスペースでは既定で無効になっています。 ワークスペース管理者は、「Databricks アシスタントを有効または無効にする」の指示に従って有効にすることができます。

  1. コンプライアンス セキュリティ プロファイルを有効にします。

    Azure portal を使ってワークスペース上でコンプライアンス セキュリティ プロファイルを有効にするには、「Azure portal を使って新しいワークスペースの設定を有効にする」を参照してください。 ARM テンプレートを使って、コンプライアンス セキュリティ プロファイルを有効にすることもできます。 「ARM テンプレートを使う」を参照してください。

    更新がすべての環境に反映されるまでに最大 6 時間かかる場合があります。 アクティブに実行されているワークロードは、コンピューティング リソースの開始時にアクティブだった設定を続行し、次にこれらのワークロードが開始されると、新しい設定が適用されます。

  2. 実行中のすべてのコンピューティングを再起動します。

手順 3: コンプライアンス セキュリティ プロファイルがワークスペースに対して有効になっていることを確認する

ワークスペースがコンプライアンス セキュリティ プロファイルを使用していることを確認するには、ユーザー インターフェイスに黄色のシールド ロゴが表示されていることをチェックします。

  • ページの右上、ワークスペース名の左側にシールド ロゴが表示されます。

    シールドのロゴ (小)。

  • ワークスペース名をクリックすると、アクセスできるワークスペースの一覧が表示されます。 コンプライアンス セキュリティ プロファイルを有効にするワークスペースには、シールド アイコンの後に "コンプライアンス セキュリティ プロファイル" というテキストが続きます。

    シールドのロゴ (大)。

また、アカウント コンソールのワークスペース ページの [セキュリティとコンプライアンス] タブから、ワークスペースでコンプライアンス セキュリティ プロファイルが使用されていることを確認することもできます。

シールド アカウント。

コンプライアンス セキュリティ プロファイルが有効になっているワークスペースにシールド アイコンがない場合は、Azure Databricks アカウント チームにお問い合わせください。