Perfil de segurança de conformidade
Este artigo descreve o perfil de segurança de conformidade e seus controles de conformidade.
Visão geral do perfil de segurança de conformidade
O perfil de segurança de conformidade permite monitoramento adicional, uma imagem de computação protegida e outros recursos e controles nos workspaces do Azure Databricks. O perfil de segurança de conformidade inclui controles que ajudam a atender aos requisitos de segurança aplicáveis de alguns padrões de conformidade. Habilitar do perfil de segurança de conformidade é necessário para usar o Azure Databricks para processar dados que são regulados sob a conformidade do PCI-DSS, e é recomendável para processar dados regulamentados sob a conformidade do HIPAA.
Você também pode optar por habilitar o perfil de segurança de conformidade pelas suas funcionalidades de segurança avançadas, sem a necessidade de cumprir um padrão de conformidade.
Importante
- Você é o único responsável por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis.
- Para PCI-DSS, você é o único responsável por garantir que o perfil de segurança de conformidade e os padrões de conformidade apropriados sejam configurados antes de processar dados regulamentados. Para processar dados PHI, o Databricks recomenda fortemente o uso do perfil de segurança de conformidade e a seleção do padrão de conformidade HIPAA.
Se você habilitar este recurso em qualquer workspace, será cobrado pelo complemento de Segurança e Conformidade Aprimorada, conforme descrito na página de preços.
Quais recursos de computação obtêm segurança aprimorada
Os aprimoramentos do perfil de segurança de conformidade se aplicam aos recursos de computação no plano de computação clássico em todas as regiões.
Os aprimoramentos do perfil de segurança de conformidade para HIPAA se aplicam aos recursos de computação no plano de computação sem servidor em todas as regiões.
O Azure Databricks não permite a inicialização de recursos de computação sem servidor quando o PCI-DSS está habilitado.
Observação
Há suporte para a maioria dos tipos de instância do Azure, mas não há suporte para máquinas virtuais baseadas em Geração 2 (Gen2) e Arm64. O Azure Databricks não permite a computação inicial com esses tipos de instância quando o perfil de segurança de conformidade está habilitado.
Recursos de perfil de segurança de conformidade e controles técnicos
Os aprimoramentos de segurança incluem:
Uma imagem avançada do sistema operacional protegida com base no Ubuntu Advantage.
O Ubuntu Advantage é um pacote de segurança empresarial e suporte para infraestrutura e aplicativos de código aberto que inclui uma imagem protegida CIS Nível 1.
A atualização automática do cluster é habilitada automaticamente.
Os clusters são reiniciados para obter as atualizações mais recentes periodicamente durante uma janela de manutenção que você pode configurar. Confira Atualização automática do cluster.
O monitoramento de proteção aprimorado é habilitado automaticamente.
Os agentes de monitoramento de segurança geram logs que você pode examinar. Para obter mais informações sobre os agentes de monitoramento, confira Agentes de monitoramento em imagensnde plano de computação do Azure Databricks.
As comunicações dentro do cluster e para saída usam a criptografia TLS 1.2 ou superior, incluindo a conexão com o metastore.
Requisitos
- Seu workspace do Azure Databricks precisa estar no tipo de preço Premium.
Etapa 1: preparar um workspace para o perfil de segurança de conformidade
Siga estas etapas ao criar um novo workspace com o perfil de segurança habilitado ou habilitá-lo em um workspace existente.
- Se o workspace estiver configurado para restringir o acesso à rede de saída, você deverá configurar sua rede para permitir, além disso, o tráfego para a porta 2443. Confira Implantar o Azure Databricks na rede virtual do Azure (injeção de VNet).
- Execute os seguintes testes para verificar se as alterações foram aplicadas corretamente:
- Inicie um cluster do Databricks com um driver, um trabalho, qualquer versão do DBR e qualquer tipo de instância com suporte.
- Confirme se o cluster entra no estado Em execução.
Etapa 2: habilitar o perfil de segurança de conformidade em um workspace
Observação
O Assistente do Databricks está desabilitado por padrão em workspaces que habilitaram o perfil de segurança de conformidade. Os administradores do workspace podem habilitá-lo seguindo as instruções Habilitar ou desabilitar o Assistente do Databricks.
Habilitar o perfil de segurança de conformidade.
Para usar o portal do Azure para habilitar o perfil de segurança de conformidade em um workspace, confira Usar o portal do Azure para habilitar as configurações em um novo workspace. Você também pode usar um modelo do ARM para habilitar o perfil de segurança de conformidade. Consulte Usar um modelo do ARM.
Pode levar até seis horas para que as atualizações sejam propagadas para todos os ambientes. As cargas de trabalho que estão sendo executadas ativamente continuam com as configurações que estavam ativas no momento do início do recurso de computação, e novas configurações se aplicam na próxima vez que essas cargas de trabalho forem iniciadas.
Reinicie toda a computação em execução.
Etapa 3: confirmar se o perfil de segurança de conformidade está habilitado para um workspace
Para confirmar se um workspace está usando o perfil de segurança de conformidade, verifique se ele tem o logotipo de escudo amarelo exibido na interface do usuário.
Um logotipo de escudo aparece no canto superior direito da página, à esquerda do nome do workspace:
Clique no nome do workspace para ver uma lista dos workspaces aos quais você tem acesso. Os workspaces que habilitam o perfil de segurança de conformidade têm um ícone de escudo seguido pelo texto "Perfil de segurança de conformidade".
Você também pode confirmar que um workspace está usando o perfil de segurança de conformidade na guia Segurança e conformidade na página do workspace no console da conta.
Se os ícones de escudo estiverem ausentes para um workspace com o perfil de segurança de conformidade habilitado, entre em contato com sua equipe de conta do Azure Databricks.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de