Perfil de segurança de conformidade

  • Artigo

Este artigo descreve o perfil de segurança de conformidade e seus controles de conformidade.

Visão geral do perfil de segurança de conformidade

O perfil de segurança de conformidade permite monitoramento adicional, uma imagem de computação reforçada e outros recursos e controles nos espaços de trabalho do Azure Databricks. O perfil de segurança de conformidade inclui controles que ajudam a atender aos requisitos de segurança aplicáveis de alguns padrões de conformidade. A habilitação do perfil de segurança de conformidade é necessária para usar o Azure Databricks para processar dados regulados pela conformidade com PCI-DSS e é recomendável processar dados regulados pela conformidade com a HIPAA .

Você também pode optar por habilitar o perfil de segurança de conformidade para seus recursos de segurança aprimorados sem a necessidade de estar em conformidade com um padrão de conformidade.

Importante

  • Você é o único responsável por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis.
  • Para PCI-DSS, você é o único responsável por garantir que o perfil de segurança de conformidade e os padrões de conformidade apropriados sejam configurados antes de processar dados regulamentados. Para processar dados PHI, a Databricks recomenda vivamente a utilização do perfil de segurança de conformidade e a seleção da norma de conformidade HIPAA.

Se você habilitar esse recurso em qualquer espaço de trabalho, será cobrado pelo complemento Segurança Reforçada e Conformidade, conforme descrito na página de preços.

Quais recursos de computação obtêm segurança aprimorada

Os aprimoramentos do perfil de segurança de conformidade aplicam-se aos recursos de computação no plano de computação clássico em todas as regiões.

Os aprimoramentos do perfil de segurança de conformidade para HIPAA se aplicam a recursos de computação no plano de computação sem servidor em todas as regiões.

O Azure Databricks não permite iniciar recursos de computação sem servidor quando o PCI-DSS está habilitado.

Nota

A maioria dos tipos de instância do Azure são suportados, mas a geração 2 (Gen2) e as máquinas virtuais baseadas em Arm64 não são suportadas. O Azure Databricks não permite iniciar a computação com esses tipos de instância quando o perfil de segurança de conformidade está habilitado.

Perfil de segurança, recursos e controles técnicos de conformidade

Os aprimoramentos de segurança incluem:

  • Uma imagem melhorada do sistema operativo reforçada baseada no Ubuntu Advantage.

    Ubuntu Advantage é um pacote de segurança empresarial e suporte para infraestrutura de código aberto e aplicações que inclui uma imagem reforçada CIS Nível 1 .

  • A atualização automática do cluster é ativada automaticamente.

    Os clusters são reiniciados para obter as atualizações mais recentes periodicamente durante uma janela de manutenção que você pode configurar. Consulte Atualização automática de cluster.

  • O monitoramento de segurança aprimorado é ativado automaticamente.

    Os agentes de monitoramento de segurança geram logs que você pode revisar. Para obter mais informações sobre os agentes de monitoramento, consulte Monitorando agentes em imagens de plano de computação do Azure Databricks.

  • As comunicações dentro do cluster e para saída usam criptografia TLS 1.2 ou superior, incluindo a conexão com o metastore.

Requisitos

  • Seu espaço de trabalho do Azure Databricks está no nível de preço Premium.

Etapa 1: Preparar um espaço de trabalho para o perfil de segurança de conformidade

Siga estas etapas ao criar um novo espaço de trabalho com o perfil de segurança habilitado ou habilitá-lo em um espaço de trabalho existente.

  1. Se o espaço de trabalho estiver configurado para restringir o acesso de saída à rede, você deverá configurar sua rede para permitir adicionalmente o tráfego para a porta 2443. Consulte Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet).
  2. Execute os seguintes testes para verificar se as alterações foram aplicadas corretamente:
    1. Inicie um cluster Databricks com um driver, um trabalhador, qualquer versão de DBR e qualquer tipo de instância suportada.
    2. Confirme se o cluster entra no estado em execução .

Etapa 2: habilitar o perfil de segurança de conformidade em um espaço de trabalho

Nota

O Assistente Databricks é desativado por padrão em espaços de trabalho que habilitaram o perfil de segurança de conformidade. Os administradores do espaço de trabalho podem ativá-lo seguindo as instruções Ativar ou desativar o Assistente do Databricks.

  1. Habilite o perfil de segurança de conformidade.

    Para usar o portal do Azure para habilitar o perfil de segurança de conformidade em um espaço de trabalho, consulte Usar o portal do Azure para habilitar configurações em um novo espaço de trabalho. Você também pode usar um modelo ARM para habilitar o perfil de segurança de conformidade. Consulte Usar um modelo ARM.

    As atualizações podem levar até seis horas para serem propagadas para todos os ambientes. As cargas de trabalho que estão em execução ativa continuam com as configurações que estavam ativas no momento de iniciar o recurso de computação, e novas configurações se aplicam na próxima vez que essas cargas de trabalho forem iniciadas.

  2. Reinicie toda a computação em execução.

Etapa 3: Confirmar se o perfil de segurança de conformidade está habilitado para um espaço de trabalho

Para confirmar se um espaço de trabalho está usando o perfil de segurança de conformidade, verifique se ele tem o logotipo do escudo amarelo exibido na interface do usuário.

  • Um logotipo de escudo aparece no canto superior direito da página, à esquerda do nome do espaço de trabalho:

    Logótipo do escudo pequeno.

  • Clique no nome do espaço de trabalho para ver uma lista dos espaços de trabalho aos quais você tem acesso. Os espaços de trabalho que habilitam o perfil de segurança de conformidade têm um ícone de escudo seguido do texto "Perfil de segurança de conformidade".

    Logotipo do escudo grande.

Você também pode confirmar se um espaço de trabalho está usando o perfil de segurança de conformidade na guia Segurança e conformidade na página do espaço de trabalho no console da conta.

Conta de escudo.

Se os ícones de escudo estiverem ausentes para um espaço de trabalho com o perfil de segurança de conformidade habilitado, entre em contato com sua equipe de conta do Azure Databricks.