Linha de base de segurança do Azure para o Azure Databricks
Esta linha de base de segurança aplica orientações da versão 1.0 de referência de segurança da cloud da Microsoft ao Azure Databricks. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Databricks.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis ao Azure Databricks foram excluídas. Para ver como o Azure Databricks mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do Azure Databricks.
Perfil de segurança
O perfil de segurança resume comportamentos de elevado impacto do Azure Databricks, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | Análise, Armazenamento |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: a implementação predefinida do Azure Databricks é um serviço totalmente gerido no Azure: todos os recursos do plano de dados, incluindo uma VNet à qual todos os clusters serão associados, são implementados num grupo de recursos bloqueado. No entanto, se precisar de personalização de rede, pode implementar recursos do plano de dados do Azure Databricks na sua própria rede virtual (injeção de VNet), permitindo-lhe implementar configurações de rede personalizadas. Pode aplicar o seu próprio grupo de segurança de rede (NSG) com regras personalizadas a restrições de tráfego de saída específicas.
Referência: Integração da VNET do Databricks
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Referência: Grupo de Segurança de Rede
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: os clientes do Azure Databricks podem utilizar a funcionalidade listas de acesso ip para definir um conjunto de endereços IP aprovados para impedir o acesso a partir do IP público ou endereços IP não aprovados.
Referência: Lista de acesso ao IP no Databricks
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar a identidade centralizada e o sistema de autenticação
Funcionalidades
Azure AD Autenticação Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: o Azure Databricks é configurado automaticamente para utilizar o início de sessão único do Azure Active Directory (Azure AD) para autenticar os utilizadores. Os utilizadores fora da sua organização têm de concluir o processo de convite e ser adicionados ao seu inquilino do Active Directory antes de poderem iniciar sessão no Azure Databricks através do início de sessão único. Pode implementar o SCIM para automatizar o aprovisionamento e o desaprovisionamento de utilizadores a partir de áreas de trabalho.
Compreender o início de sessão único no Azure Databricks
Como utilizar as APIs SCIM para o Azure Databricks
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: para serviços que não suportam identidades geridas, utilize o Azure Active Directory (Azure AD) para criar um principal de serviço com permissões restritas ao nível do recurso. Configure principais de serviço com credenciais de certificado e reverta para segredos de cliente para autenticação.
Referência: Principal de serviço no Databricks
IM-7: Restringir o acesso a recursos com base em condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: além disso, o Azure Databricks suporta listas de acesso ip para tornar o acesso à aplicação Web e à API REST mais seguro.
Listas de acesso ao IP no Databricks
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Acesso Condicional no Databricks
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o Azure Databricks também suporta um âmbito secreto armazenado (apoiado por) uma base de dados encriptada pertencente e gerida pelo Azure Databricks.
Âmbitos suportados pelo Databricks
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou de configuração.
Referência: integração do Key Vault no Databricks
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-7: Seguir apenas o princípio de administração (privilégio mínimo) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: pode utilizar as APIs SCIM do Azure Databricks para gerir utilizadores numa área de trabalho do Azure Databricks e conceder privilégios administrativos a utilizadores designados.
No Azure Databricks, pode utilizar listas de controlo de acesso (ACLs) para configurar a permissão para aceder a objetos de área de trabalho diferentes.
Controlo de acesso no Databricks
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Como gerir o controlo de acesso no Azure Databricks
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Sistema de Proteção de Dados do Cliente para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Sistema de Proteção de Dados do Cliente
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidade: por predefinição, os dados trocados entre nós de trabalho num cluster não são encriptados. Se o seu ambiente exigir que os dados sejam sempre encriptados, pode criar um script init que configure os clusters para encriptar o tráfego entre nós de trabalho.
Orientação de Configuração: ative a transferência segura nos serviços onde existe uma funcionalidade de encriptação de trânsito de dados nativos incorporada. Imponha HTTPS em quaisquer aplicações e serviços Web e certifique-se de que o TLS v1.2 ou posterior é utilizado. As versões legadas, como o SSL 3.0, TLS v1.0, devem ser desativadas. Para a gestão remota de Máquinas Virtuais, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.
Referência: Dados na Encriptação de Trânsito do Databricks
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação de dados inativos com chaves geridas pela plataforma no Databricks
DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário
Funcionalidades
Dados na Encriptação Rest Com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o Azure Databricks tem duas funcionalidades principais geridas pelo cliente para diferentes tipos de dados.
Chaves geridas pelo cliente para encriptação
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente dados em encriptação inativa com a chave gerida pelo cliente para esses serviços.
Referência: Dados na Encriptação Rest Com a CMK no Databricks
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: nota: não pode utilizar um token de acesso pessoal do Azure Databricks ou um token de aplicação Azure AD que pertence a um principal de serviço.
Evitar o token de acesso pessoal
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação de chaves (KEK) no cofre de chaves. Certifique-se de que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos seus HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Gestão de chaves no Databricks
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura em todos os recursos do Azure.
Referência: Databricks Azure Policy
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: para o registo de auditoria, o Azure Databricks fornece registos de diagnóstico completos de atividades realizadas por utilizadores do Azure Databricks, permitindo à sua empresa monitorizar padrões de utilização detalhados do Azure Databricks.
Nota: os registos de diagnóstico do Azure Databricks requerem o Plano Premium do Azure Databricks.
Como ativar as Definições de Diagnóstico para o Registo de Atividades do Azure
Como ativar as Definições de Diagnóstico do Azure Databricks
Referência: Registos de recursos no Databricks
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de posturas e vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
Outras orientações para PV-3
Quando cria um cluster do Azure Databricks, este cria imagens de VM base. O código de utilizador é executado em contentores implementados nas VMs. Implementar uma solução de gestão de vulnerabilidades de terceiros. Se tiver uma subscrição da plataforma de gestão de vulnerabilidades, poderá utilizar scripts de inicialização do Azure Databricks, em execução nos contentores em cada um dos nós, para instalar agentes de avaliação de vulnerabilidades nos nós de cluster do Azure Databricks e gerir os nós através do respetivo portal. Tenha em atenção que cada solução de terceiros funciona de forma diferente.
Scripts de inicialização de nós de cluster do Databricks
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: para as origens de dados do Azure Databricks, certifique-se de que configurou um nível adequado de redundância de dados para o seu caso de utilização. Por exemplo, se utilizar uma conta de Armazenamento do Azure para o arquivo de dados do Azure Databricks, escolha a opção de redundância adequada (LRS, ZRS, GRS, RA-GRS).
Origens de dados do Azure Databricks
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Recuperação após desastre regional para clusters do Azure Databricks
Passos seguintes
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure