Beveiligingsprofiel voor naleving

  • Artikel

In dit artikel worden het nalevingsbeveiligingsprofiel en de bijbehorende nalevingscontroles beschreven.

Overzicht van nalevingsbeveiligingsprofiel

Met het beveiligingsprofiel voor naleving kunt u extra bewaking, een beperkte rekeninstallatiekopie en andere functies en besturingselementen in Azure Databricks-werkruimten uitvoeren. Het nalevingsbeveiligingsprofiel bevat besturingselementen die helpen voldoen aan de toepasselijke beveiligingsvereisten van sommige nalevingsstandaarden. Het inschakelen van het nalevingsbeveiligingsprofiel is vereist voor het gebruik van Azure Databricks voor het verwerken van gegevens die zijn gereguleerd onder PCI-DSS-naleving . Het wordt aanbevolen om gegevens te verwerken die worden gereguleerd onder HIPAA-naleving .

U kunt er ook voor kiezen om het nalevingsbeveiligingsprofiel in te schakelen voor de verbeterde beveiligingsfuncties zonder dat u aan een nalevingsstandaard hoeft te voldoen.

Belangrijk

  • U bent uitsluitend verantwoordelijk voor het waarborgen van uw eigen naleving van alle toepasselijke wetten en voorschriften.
  • Voor PCI-DSS bent u alleen verantwoordelijk voor het garanderen dat het nalevingsbeveiligingsprofiel en de juiste nalevingsstandaarden worden geconfigureerd voordat gereguleerde gegevens worden verwerkt. Voor het verwerken van PHI-gegevens raadt Databricks ten zeerste het gebruik van het nalevingsbeveiligingsprofiel aan en selecteert u de HIPAA-nalevingsstandaard.

Als u deze functie inschakelt voor elke werkruimte, worden er kosten in rekening gebracht voor de invoegtoepassing Verbeterde beveiliging en naleving, zoals beschreven op de pagina met prijzen.

Welke rekenresources verbeterde beveiliging krijgen

De verbeteringen in het nalevingsbeveiligingsprofiel zijn van toepassing op rekenresources in het klassieke rekenvlak in alle regio's.

De verbeteringen van het nalevingsbeveiligingsprofiel voor HIPAA zijn van toepassing op rekenresources in het serverloze rekenvlak in alle regio's.

Azure Databricks staat het starten van serverloze rekenresources niet toe wanneer PCI-DSS is ingeschakeld.

Notitie

De meeste Typen Azure-exemplaren worden ondersteund, maar virtuele machines van de tweede generatie (Gen2) en op Arm64 gebaseerde virtuele machines worden niet ondersteund. Azure Databricks staat het starten van rekenprocessen met deze instantietypen niet toe wanneer het beveiligingsprofiel voor naleving is ingeschakeld.

Functies en technische controles voor beveiligingsprofielen voor naleving

Beveiligingsverbeteringen zijn onder andere:

  • Een verbeterde beperkte installatiekopie van het besturingssysteem op basis van Ubuntu Advantage.

    Ubuntu Advantage is een pakket met bedrijfsbeveiliging en ondersteuning voor opensource-infrastructuur en toepassingen die een met CIS Niveau 1 beveiligde installatiekopie bevatten.

  • Automatische clusterupdate wordt automatisch ingeschakeld.

    Clusters worden opnieuw opgestart om regelmatig de meest recente updates op te halen tijdens een onderhoudsvenster dat u kunt configureren. Zie Automatische clusterupdate.

  • Verbeterde beveiligingscontrole wordt automatisch ingeschakeld.

    Agents voor beveiligingsbewaking genereren logboeken die u kunt controleren. Zie Bewakingsagents in Azure Databricks-rekenvlakinstallatiekopieën voor meer informatie over de bewakingsagents.

  • Communicatie binnen het cluster en voor uitgaand verkeer maken gebruik van TLS 1.2-versleuteling of hoger, inclusief verbinding maken met de metastore.

Vereisten

Stap 1: Een werkruimte voorbereiden voor het nalevingsbeveiligingsprofiel

Volg deze stappen wanneer u een nieuwe werkruimte maakt waarvoor het beveiligingsprofiel is ingeschakeld of ingeschakeld voor een bestaande werkruimte.

  1. Als de werkruimte is geconfigureerd om de uitgaande netwerktoegang te beperken, moet u uw netwerk zo configureren dat verkeer naar poort 2443 wordt toegestaan. Zie Azure Databricks implementeren in uw virtuele Azure-netwerk (VNet-injectie).
  2. Voer de volgende tests uit om te controleren of de wijzigingen correct zijn toegepast:
    1. Start een Databricks-cluster met één stuurprogramma, één werkrol, elke DBR-versie en elk ondersteund exemplaartype.
    2. Controleer of het cluster de status Actief invoert.

Stap 2: Het beveiligingsprofiel voor naleving inschakelen in een werkruimte

Notitie

Databricks Assistant is standaard uitgeschakeld voor werkruimten waarvoor het beveiligingsprofiel voor naleving is ingeschakeld. Werkruimtebeheerders kunnen deze inschakelen door de instructies te volgen: Databricks Assistant in- of uitschakelen.

  1. Schakel het beveiligingsprofiel voor naleving in.

    Als u Azure Portal wilt gebruiken om het beveiligingsprofiel voor naleving in te schakelen in een werkruimte, raadpleegt u Azure Portal gebruiken om instellingen in te schakelen voor een nieuwe werkruimte. U kunt ook een ARM-sjabloon gebruiken om het beveiligingsprofiel voor naleving in te schakelen. Zie Een ARM-sjabloon gebruiken.

    Het kan zes uur duren voordat updates zijn doorgegeven aan alle omgevingen. Workloads die actief worden uitgevoerd, gaan verder met de instellingen die actief waren op het moment van het starten van de rekenresource en nieuwe instellingen zijn van toepassing wanneer deze workloads de volgende keer worden gestart.

  2. Start alle actieve berekeningen opnieuw op.

Stap 3: Controleer of het beveiligingsprofiel voor naleving is ingeschakeld voor een werkruimte

Als u wilt controleren of een werkruimte het nalevingsbeveiligingsprofiel gebruikt, controleert u of het gele schildlogo wordt weergegeven in de gebruikersinterface.

  • Rechtsboven op de pagina wordt een schildlogo weergegeven, links van de naam van de werkruimte:

    Schildlogo klein.

  • Klik op de naam van de werkruimte om een lijst weer te geven met de werkruimten waartoe u toegang hebt. De werkruimten die het nalevingsbeveiligingsprofiel inschakelen, hebben een schildpictogram gevolgd door de tekst 'Nalevingsbeveiligingsprofiel'.

    Schild logo groot.

U kunt ook bevestigen dat een werkruimte het nalevingsbeveiligingsprofiel gebruikt op het tabblad Beveiliging en naleving op de werkruimtepagina in de accountconsole.

Afschermingsaccount.

Als de schildpictogrammen ontbreken voor een werkruimte waarvoor het nalevingsbeveiligingsprofiel is ingeschakeld, neemt u contact op met uw Azure Databricks-accountteam.