Azure-beveiligingsbasislijn voor Azure Databricks
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Azure Databricks. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Databricks.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure Databricks zijn uitgesloten. Als u wilt zien hoe Azure Databricks volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige azure Databricks-toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van Azure Databricks, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Analyse, opslag |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: De standaardimplementatie van Azure Databricks is een volledig beheerde service in Azure: alle gegevensvlakresources, inclusief een VNet waaraan alle clusters worden gekoppeld, worden geïmplementeerd in een vergrendelde resourcegroep. Als u echter netwerkaanpassing nodig hebt, kunt u Azure Databricks-gegevensvlakresources implementeren in uw eigen virtuele netwerk (VNet-injectie), zodat u aangepaste netwerkconfiguraties kunt implementeren. U kunt uw eigen netwerkbeveiligingsgroep (NSG) met aangepaste regels toepassen op specifieke beperkingen voor uitgaand verkeer.
Naslaginformatie: Databricks VNET-integratie
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG's) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het inkomende verkeer weigeren, maar verkeer van virtuele netwerken en Azure Load Balancers toestaan.
Naslaginformatie: Netwerkbeveiligingsgroep
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Azure Databricks-klanten kunnen de functie IP-toegangslijsten gebruiken om een set goedgekeurde IP-adressen te definiëren om toegang van openbare IP-adressen of niet-goedgekeurde IP-adressen te voorkomen.
Naslaginformatie: IP-toegangslijst in Databricks
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Databricks wordt automatisch ingesteld voor het gebruik van eenmalige aanmelding van Azure Active Directory (Azure AD) om gebruikers te verifiëren. Gebruikers buiten uw organisatie moeten het uitnodigingsproces voltooien en worden toegevoegd aan uw Active Directory-tenant voordat ze zich via eenmalige aanmelding kunnen aanmelden bij Azure Databricks. U kunt SCIM implementeren om het inrichten en ongedaan maken van de inrichting van gebruikers vanuit werkruimten te automatiseren.
Informatie over eenmalige aanmelding voor Azure Databricks
De SCIM-API's gebruiken voor Azure Databricks
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Voor services die geen beheerde identiteiten ondersteunen, gebruikt u Azure Active Directory (Azure AD) om een service-principal met beperkte machtigingen op resourceniveau te maken. Service-principals configureren met certificaatreferenties en terugvallen op clientgeheimen voor verificatie.
Naslaginformatie: Service-principal in Databricks
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Daarnaast ondersteunt Azure Databricks IP-toegangslijsten om de toegang tot de webtoepassing en de REST API veiliger te maken.
IP-toegangslijsten in Databricks
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Voorwaardelijke toegang in Databricks
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure Databricks ondersteunt ook een geheim bereik dat is opgeslagen in (ondersteund door) een versleutelde database die eigendom is van en wordt beheerd door Azure Databricks.
Door Databricks ondersteunde bereiken
Configuratierichtlijnen: Zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: Key Vault-integratie in Databricks
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: u kunt SCIM-API's van Azure Databricks gebruiken om gebruikers in een Azure Databricks-werkruimte te beheren en beheerdersbevoegdheden te verlenen aan aangewezen gebruikers.
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen voor toegang tot verschillende werkruimteobjecten te configureren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Toegangsbeheer beheren in Azure Databricks
PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor toegang tot gegevens van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Referentie: Customer Lockbox
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: de gegevens die worden uitgewisseld tussen werkknooppunten in een cluster, worden standaard niet versleuteld. Als uw omgeving vereist dat gegevens te allen tijde worden versleuteld, kunt u een init-script maken waarmee uw clusters worden geconfigureerd voor het versleutelen van verkeer tussen werkknooppunten.
Configuratierichtlijnen: veilige overdracht inschakelen in services waarbij een ingebouwde functie voor versleuteling van gegevens in transit is ingebouwd. HTTPS afdwingen op webtoepassingen en -services en ervoor zorgen dat TLS v1.2 of hoger wordt gebruikt. Verouderde versies zoals SSL 3.0 en TLS v1.0 moeten worden uitgeschakeld. Voor extern beheer van Virtual Machines gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Naslaginformatie: Data-in-transit-versleuteling voor Databricks
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Data-at-rest-versleuteling met behulp van door het platform beheerde sleutels in Databricks
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij functies: Azure Databricks heeft twee door de klant beheerde belangrijke functies voor verschillende typen gegevens.
Door de klant beheerde sleutels voor versleuteling
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: Data-at-rest-versleuteling met CMK in Databricks
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: U kunt geen persoonlijk toegangstoken van Azure Databricks of een Azure AD-toepassingstoken gebruiken dat deel uitmaakt van een service-principal.
Persoonlijk toegangstoken vermijden
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Sleutelbeheer in Databricks
Asset-management
Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
Naslaginformatie: Databricks Azure Policy
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbod
Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Voor auditlogboekregistratie biedt Azure Databricks uitgebreide end-to-end diagnostische logboeken van activiteiten die worden uitgevoerd door Azure Databricks-gebruikers, zodat uw onderneming gedetailleerde Azure Databricks-gebruikspatronen kan bewaken.
Opmerking: voor diagnostische logboeken van Azure Databricks is het Azure Databricks Premium-abonnement vereist.
Diagnostische instellingen inschakelen voor Azure-activiteitenlogboek
Diagnostische instellingen inschakelen voor Azure Databricks
Naslaginformatie: Resourcelogboeken in Databricks
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft Cloud Security Benchmark: Posture and vulnerability management (Postuur en beheer van beveiligingsproblemen) voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Andere richtlijnen voor PV-3
Wanneer u een Azure Databricks-cluster maakt, worden er basis-VM-installatiekopieën gemaakt. Gebruikerscode wordt uitgevoerd in containers die zijn geïmplementeerd op de VM's. Implementeer een oplossing voor het beheer van beveiligingsproblemen van derden. Als u een abonnement op het platform voor beveiligingsbeheer hebt, kunt u Azure Databricks-initialisatiescripts gebruiken, uitgevoerd in de containers op elk van de knooppunten, om beveiligingsagents voor evaluatie van beveiligingsproblemen te installeren op uw Azure Databricks-clusterknooppunten en de knooppunten te beheren via de respectieve portal. Houd er rekening mee dat elke oplossing van derden anders werkt.
Initialisatiescripts voor Databricks-clusterknooppunten
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Zorg ervoor dat u voor uw Azure Databricks-gegevensbronnen een geschikt niveau van gegevensredundantie hebt geconfigureerd voor uw use-case. Als u bijvoorbeeld een Azure Storage-account gebruikt voor uw Azure Databricks-gegevensarchief, kiest u de juiste redundantieoptie (LRS, ZRS, GRS, RA-GRS).
Gegevensbronnen voor Azure Databricks
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Regionaal herstel na noodgevallen voor Azure Databricks-clusters
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen