适用于 Azure Databricks 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 1.0 中的指导应用于 Azure Databricks。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按照 Azure 安全基准定义的安全控制措施和适用于 Azure Databricks 的相关指导进行分组。

当某个功能具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Azure Databricks 的控制以及建议逐字使用全局指导的控制。 若要了解 Azure Databricks 如何完全映射到 Azure 安全基准,请参阅完整的 Azure Databricks 安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

1.1:保护虚拟网络中的 Azure 资源

指南:在自己的 Azure 虚拟网络 (VNet) 中部署 Azure Databricks。 Azure Databricks 的默认部署是 Azure 上的完全托管式服务:所有数据平面资源(包括与所有群集关联的 VNet)都部署到锁定的资源组。 但如果需要自定义网络,你可在自己的虚拟网络中部署 Azure Databricks 数据平面资源(VNet 注入),从而实现自定义网络配置。 你可以对自己的网络安全组 (NSG) 应用自定义规则,以实现特定的出口流量限制。

此外,你还可以配置 NSG 规则,以指定要将 Azure Databricks 实例部署到的子网上的出口流量限制。 可以为 VNET 注入的工作区配置 Azure 防火墙。

责任:客户

Azure 安全中心监视:无

1.2:监视并记录虚拟网络、子网和网络接口的配置与流量

指南:在自己的 Azure 虚拟网络 (VNet) 中部署 Azure Databricks。 系统不会自动创建网络安全组 (NSG)。 你只需使用默认 Azure 规则创建基线 NSG。 部署工作区时,系统会添加 Databricks 所需的规则。 你还可以从空的 NSG 开始,系统将自动添加适当的规则。 启用 NSG 流日志,并将日志发送到存储帐户以进行流量审核。 还可以将流日志发送到 Log Analytics 工作区,并使用流量分析来深入了解 Azure 云中的流量流。 流量分析的一些优点是能够用于直观呈现网络活动、识别热点、识别安全威胁、了解流量流模式以及查明网络配置错误。

责任:客户

Azure 安全中心监视:无

1.4:拒绝与已知恶意的 IP 地址进行通信

指南:在与 Azure Databricks 实例关联的 Azure 虚拟网络上启用 Azure DDoS 防护标准,防范分布式拒绝服务攻击。 使用 Azure 安全中心的集成式威胁情报功能拒绝与已知的恶意或未使用的公共 IP 地址通信。

责任:客户

Azure 安全中心监视:无

1.5:记录网络数据包

指南:在自己的 Azure 虚拟网络 (VNet) 中部署 Azure Databricks。 系统不会自动创建网络安全组 (NSG)。 你只需使用默认 Azure 规则创建基线 NSG。 部署工作区时,系统会添加 Databricks 所需的规则。 启用 NSG 流日志,并将日志发送到存储帐户以进行流量审核。 还可以将流日志发送到 Log Analytics 工作区,并使用流量分析来深入了解 Azure 云中的流量流。 流量分析的一些优点是能够用于直观呈现网络活动、识别热点、识别安全威胁、了解流量流模式以及查明网络配置错误。

责任:客户

Azure 安全中心监视:无

1.6:部署基于网络的入侵检测/入侵防护系统 (IDS/IPS)

指南:从 Azure 市场实现具有 IDP/IPS 功能的网络虚拟设备 (NVA),以创建一个集成了虚拟网络的工作区,其中所有 Azure Databricks 群集都具有单一 IP 出站地址。 该单一 IP 地址可用作允许基于特定 IP 地址进行访问的其他 Azure 服务和应用程序的额外安全层。 你可以使用 Azure 防火墙或其他第三方工具(如 NVA)来管理入口和出口流量。

如果不需要基于有效负载检查的入侵检测和/或防护,则可以使用具有威胁情报功能的 Azure 防火墙。 基于 Azure 防火墙威胁情报的筛选功能可以发出警报,并拒绝传入和传出已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。

责任:客户

Azure 安全中心监视:无

1.8:最大程度降低网络安全规则的复杂性和管理开销

指南:使用服务标记来定义网络安全组上连接到与 Azure Databricks 实例相关联的子网的网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 在规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记。 非注入的 VNET 工作区不支持服务标记。

责任:客户

Azure 安全中心监视:无

1.9:维护网络设备的标准安全配置

指南:通过 Azure Policy 为 Azure Databricks 实例定义和实现网络安全配置。 你可以使用“Microsoft.Databricks”命名空间中的 Azure Policy 别名来定义自定义策略定义。 策略不会应用于受管理资源组中的资源。

还可以使用 Azure 蓝图将关键环境项目(例如 Azure 资源管理模板、基于角色的访问控制 (RBAC) 和策略)打包到单个蓝图定义中,以简化大规模的 Azure 部署。 轻松将蓝图应用到新的订阅和环境,并通过版本控制来微调控制措施和管理。

责任:客户

Azure 安全中心监视:无

1.10:记录流量配置规则

指南:对 NSG 以及与 Azure Databricks 实例关联的其他与网络安全和流量流相关的资源使用标记。 对于各个 NSG 规则,可以使用“描述”字段为允许流量传入/传出网络的任何规则指定业务需求和/或持续时间(等等)。

责任:客户

Azure 安全中心监视:无

1.11:使用自动化工具监视网络资源配置并检测更改

指南:使用 Azure 活动日志监视网络资源配置,并检测与 Azure Databricks 实例相关的网络资源的更改。 在 Azure Monitor 中创建警报,使其在关键网络资源发生更改时触发。

责任:客户

Azure 安全中心监视:无

日志记录和监视

有关详细信息,请参阅 Azure 安全基线: 日志记录和监视

2.1:使用批准的时间同步源

指南:Microsoft 维护 Azure 资源的时间源,但你可以选择管理计算资源的时间同步设置。 由于 Azure Databricks 是一项 PaaS 服务,因此你无法直接访问 Azure Databricks 群集中的 VM,也无法设置时间同步设置。

责任:Microsoft

Azure 安全中心监视:无

2.2:配置中心安全日志管理

指南:通过 Azure Monitor 引入日志来聚合 Azure Databricks 生成的安全数据。 在 Azure Monitor 中,可以查询配置为接收 Databricks 和诊断日志的 Log Analytics 工作区。 将 Azure 存储帐户用于长期/存档日志存储或事件中心,以便将数据导出到其他系统。 或者,可以启用数据并将其加入 Azure Sentinel 或第三方安全信息和事件管理 (SIEM)。

注意:Azure Databricks 诊断日志需要 Azure Databricks Premium 计划

责任:客户

Azure 安全中心监视:无

2.3:为 Azure 资源启用审核日志记录

指导:启用 Azure 活动日志诊断设置,并将日志发送到 Log Aalytics 工作区、Azure 事件中心或 Azure 存储帐户进行存档。 使用 Azure 活动日志数据,可以确定在控制平面级别针对 Azure 资源执行的任何写入操作(PUT、POST、DELETE)的“操作内容、操作人员和操作时间”。

对于审核日志记录,Azure Databricks 提供全面的由 Azure Databricks 用户所执行活动的端到端诊断日志,使企业能够监视详细的 Azure Databricks 使用模式。

注意:Azure Databricks 诊断日志需要 Azure Databricks Premium 计划

责任:客户

Azure 安全中心监视:无

2.4:从操作系统收集安全日志

指南:Azure Databricks 提供全面的 Azure Databricks 用户所执行活动的端到端诊断日志,使企业能够监视详细的 Azure Databricks 使用模式。

注意:Azure Databricks 诊断日志需要 Azure Databricks Premium 计划。 OS 安全日志记录不可用。

责任:客户

Azure 安全中心监视:无

2.5:配置安全日志存储保留

指南:启用 Azure Databricks 的诊断设置。 如果选择将日志存储在 Log Analytics 工作区中,请根据组织的合规性规则来设置 Log Analytics 工作区保持期。 将 Azure 存储帐户用于长期/存档存储。 在 Databricks 审核日志中跟踪与安全相关的活动。

注意:Azure Databricks 诊断日志需要 Azure Databricks Premium 计划

责任:客户

Azure 安全中心监视:无

2.6:监视和查看日志

指南:启用 Azure Databricks 的诊断设置,并将日志发送到 Log Analytics 工作区。 使用 Log Analytics 工作区分析和监视 Azure Databricks 日志中是否存在异常行为,并定期查看结果。

或者,可以启用将数据加入 Azure Sentinel 或第三方 SIEM 的功能。

注意:Azure Databricks 诊断日志需要 Azure Databricks Premium 计划

责任:客户

Azure 安全中心监视:无

2.7:针对异常活动启用警报

指导:配置 Azure Databricks 实例的诊断设置,并将日志发送到 Log Analytics 工作区。 在 Log Analytics 工作区中,配置发生一组预定义的条件时要触发的警报。

或者,可以启用将数据加入 Azure Sentinel 或第三方 SIEM 的功能。

注意:Azure Databricks 诊断日志需要 Azure Databricks Premium 计划

责任:客户

Azure 安全中心监视:无

标识和访问控制

有关详细信息,请参阅 Azure 安全基线: 标识和访问控制

3.1:维护管理帐户的清单

指南:可使用 Azure Databricks SCIM API 来管理 Azure Databricks 工作区中的用户,并向指定的用户授予管理权限。 还可以通过 Azure Databricks UI 来管理它们。

责任:客户

Azure 安全中心监视:无

3.2:在适用的情况下更改默认密码

指导:Azure Databricks 使用 Azure Active Directory (Azure AD) 提供对 Azure 门户以及 Azure Databricks 管理控制台的访问权限。 Azure AD 没有默认密码的概念,但你有责任更改或不允许使用任何自定义或第三方应用程序的默认密码。

责任:客户

Azure 安全中心监视:无

3.3:使用专用管理帐户

指南:可以在 Azure Databricks 中使用 Azure Databricks SCIM API 添加具有管理员权限的用户。 还可以通过 Azure Databricks UI 来管理它们。

责任:客户

Azure 安全中心监视:无

3.4:使用 Azure Active Directory 单一登录 (SSO)

指导:Azure Databricks 自动设置为使用 Azure Active Directory (Azure AD) 单一登录对用户进行身份验证。 组织外的用户必须完成邀请过程并添加到 Active Directory 租户后,才能通过单一登录登录到 Azure Databricks。 你可以实现 SCIM,在工作区中自动预配和取消预配用户。

如何使用 SCIM API:/azure/databricks/dev-tools/api/latest/scim/

责任:Microsoft

Azure 安全中心监视:无

3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证

指导:启用 Azure Active Directory (Azure AD) 多重身份验证,并遵循 Azure 安全中心标识和访问管理的建议。

责任:客户

Azure 安全中心监视:无

3.6:使用由 Azure 管理的安全工作站执行管理任务

指导:使用配置了多重身份验证的 PAW(特权访问工作站)来登录和配置 Azure 资源。

责任:客户

Azure 安全中心监视:无

3.7:记录来自管理帐户的可疑活动并对其发出警报

指导:当环境中出现可疑或不安全的活动时,请使用 Azure Active Directory (Azure AD) 安全报告来生成日志和警报。 使用 Azure 安全中心监视标识和访问活动。 此外,还可以利用 Azure Databricks 诊断日志。

责任:客户

Azure 安全中心监视:无

3.8:仅从批准的位置管理 Azure 资源

指南:使用条件访问命名位置,仅允许从 IP 地址范围或国家/地区的特定逻辑分组进行访问。

责任:客户

Azure 安全中心监视:无

3.9:使用 Azure Active Directory

指导:Azure Databricks 自动设置为使用 Azure Active Directory (Azure AD) 单一登录对用户进行身份验证。 组织外的用户必须完成邀请过程并添加到 Azure AD 租户后,才能通过单一登录登录到 Azure Databricks。

了解 Azure 单一登录

方式

责任:Microsoft

Azure 安全中心监视:无

3.10:定期审查和协调用户访问

指导:Azure Active Directory (Azure AD) 提供日志来帮助发现过时的帐户。 此外,使用 Azure 标识访问评审还可有效管理组成员身份、对企业应用程序的访问权限以及角色分配。 可定期评审用户访问权限,确保相应人员持续拥有访问权限。 还可实现 SCIM API 和 Azure Databricks 诊断日志来查看用户访问权限。 还可使用 SCIM API 和 Azure Databricks 诊断日志来查看用户访问权限。

此外,应在 Azure Databricks 管理控制台中定期查看和管理用户访问权限。

责任:客户

Azure 安全中心监视:无

3.11:监视尝试访问已停用凭据的行为

指导:你有权访问 Azure Active Directory (Azure AD) 登录活动、审核和风险事件日志源,因此可以与任何 SIEM/监视工具集成。 此外,还可使用 Azure Databricks 诊断日志来查看用户访问活动。

可以通过为 Azure AD 用户帐户创建诊断设置,并将审核日志和登录日志发送到 Log Analytics 工作区,来简化此过程。 可在 Log Analytics 工作区中配置所需的警报。

责任:客户

Azure 安全中心监视:无

3.12:针对帐户登录行为偏差发出警报

指导:使用 Azure Active Directory (Azure AD) 风险和标识保护功能配置对检测到的与用户标识相关的可疑操作的自动响应。 还可以将数据引入 Azure Sentinel 中以便进一步调查。 此外,还可使用 Azure Databricks 诊断日志来查看用户访问活动。

责任:客户

Azure 安全中心监视:无

3.13:在支持方案期间为 Microsoft 提供对相关客户数据的访问权限

指南:当支持票证处于未结状态时,客服和支持工程师将征求你的同意,以便访问相关客户数据。

责任:共享

Azure 安全中心监视:无

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

4.1:维护敏感信息的清单

指南:使用标记可以帮助跟踪处理敏感信息的 Azure Databricks 实例。

责任:客户

Azure 安全中心监视:无

4.2:隔离存储或处理敏感信息的系统

指南:为开发、测试和生产采用单独的订阅和/或管理组。 Azure Databricks 的默认部署是一种部署在其自己的虚拟网络中的完全托管式服务。 如需自定义网络,你可在自己的虚拟网络中部署 Azure Databricks。 最佳做法是为不同的业务团队或部门创建单独的 Azure Databricks 工作区。

责任:客户

Azure 安全中心监视:无

4.3:监视和阻止未经授权的敏感信息传输

指南:遵循 Databricks 的泄露保护体系结构,降低数据泄露的可能性。

Microsoft 会管理 Azure Databricks 的底层基础结构,并实施了严格的控制措施来防止客户数据丢失或泄露。

责任:共享

Azure 安全中心监视:无

4.4:加密传输中的所有敏感信息

指南:默认情况下,在通过 Azure 门户或 Azure Databricks 控制台管理 Azure Databricks 实例时,Microsoft 将协商 TLS 1.2。 Databricks Web 应用支持 TLS 1.3。

责任:Microsoft

Azure 安全中心监视:无

4.5:使用有效的发现工具识别敏感数据

指南:当前不可用;数据标识、分类和丢失防护功能目前不可用于 Azure Databricks。 标记可能正在处理此类敏感信息的 Azure Databricks 实例和相关资源,并根据需要实施第三方解决方案以实现合规性。

Databricks 平台仅用于计算,所有数据都存储在其他 Azure 数据服务中。 对于由 Microsoft 管理的底层平台,Microsoft 将所有客户内容都视为敏感信息,竭尽全力防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Microsoft 已实施并维护一套可靠的数据保护控制机制和功能。

责任:客户

Azure 安全中心监视:无

4.6:使用基于角色的访问控制来控制对资源的访问

指南:在 Azure Databricks 中,可以使用访问控制列表 (ACL) 来配置访问数据表、群集、池、作业和工作区对象(如笔记本、试验和文件夹)的权限。 所有管理员用户都可以管理访问控制列表,被授予访问控制列表委托管理权限的用户也可以进行此类管理。 可使用 Azure RBAC 设置对 Azure Databricks 工作区的权限。

注意:只能在 Azure Databricks Premium 计划中对表、群集、池、作业和工作区进行访问控制

责任:客户

Azure 安全中心监视:无

4.8:加密静态的敏感信息

指南:Azure Databricks 工作区包含一个托管在 Azure Databricks 管理的虚拟网络中的管理平面,还包含一个部署在客户管理的虚拟网络中的数据平面。 控制平面将所有用户的笔记本和关联的笔记本结果存储在数据库中。 默认情况下,系统使用不同的加密密钥对所有笔记本和结果进行静态加密。

Databricks 文件系统 (DBFS) 是一个装载到 Azure Databricks 工作区的分布式文件系统,可以在 Azure Databricks 群集上使用。 DBFS 以 Azure Databricks 工作区受管理资源组中的存储帐户的形式实现。 默认情况下,存储帐户使用 Microsoft 管理的密钥进行加密。 你的数据存储在你拥有的 Azure 数据服务中,你可视情况对其进行加密。 不建议使用 DBFS 存储生产数据

注意:这些功能并不适用于所有 Azure Databricks 订阅。 请联系 Microsoft 或 Databricks 客户代表,以申请访问权限。

责任:共享

Azure 安全中心监视:无

4.9:记录对关键 Azure 资源的更改并发出警报

指南:将 Azure Monitor 与 Azure 活动日志结合使用,创建要在关键 Azure Databricks 工作区发生更改时触发的警报。

责任:客户

Azure 安全中心监视:无

漏洞管理

有关详细信息,请参阅 Azure 安全基线: 漏洞管理。

5.1:运行自动漏洞扫描工具

指导:创建 Azure Databricks 群集时,将会运转基础 VM 映像。 用户代码在 VM 上部署的容器中运行。

实施第三方漏洞管理解决方案。

如果你有漏洞管理平台订阅,则可以使用在每个节点上的容器中运行的 Azure Databricks 初始化脚本在 Azure Databricks 群集节点上安装漏洞评估代理,并通过相应的门户管理节点。 注意,每个第三方解决方案的工作方式都有所不同。

责任:客户

Azure 安全中心监视:无

5.2:部署自动操作系统修补管理解决方案

指导:创建 Azure Databricks 群集时,将会运转基础 VM 映像。 用户代码在 VM 上部署的容器中运行。

Microsoft 负责维护 Azure Databricks 群集节点基础 VM 映像,而你负责确保群集节点得到修补。 要将维护更新添加到正在运行的现有群集,必须重启该群集。

责任:客户

Azure 安全中心监视:无

5.3:为第三方软件部署自动修补程序管理解决方案

指导:创建 Azure Databricks 群集时,将会运转基础 VM 映像。 用户代码在 VM 上部署的容器中运行。

Microsoft 将维护 VM 映像。 第三方应用程序在容器中运行,客户需负责确保这些应用程序得到修补和其他维护。

责任:客户

Azure 安全中心监视:无

5.4:比较连续的漏洞扫描

指南:实施可以将一段时间内的漏洞扫描进行比较的第三方漏洞管理解决方案。 如果你有漏洞管理订阅,则可以使用该供应商的门户来查看和比较连续的漏洞扫描。 注意,每个第三方解决方案的工作方式都有所不同。

责任:客户

Azure 安全中心监视:无

5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级

指南:使用常见的风险分级程序(例如“常见漏洞评分系统”)或第三方扫描工具提供的默认风险分级功能。

责任:客户

Azure 安全中心监视:无

清单和资产管理

有关详细信息,请参阅 Azure 安全基线: 清单和资产管理

6.1:使用自动化资产发现解决方案

指导:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等)。 确保你在租户中拥有适当(读取)权限,并且能够枚举所有 Azure 订阅以及订阅中的资源。

虽然可以通过 Resource Graph 发现经典 Azure 资源,但我们强烈建议你今后创建和使用 Azure 资源管理器资源。

责任:客户

Azure 安全中心监视:无

6.2:维护资产元数据

指导:将标记应用于 Azure 资源,从而将元数据按逻辑组织到分类中。

责任:客户

Azure 安全中心监视:无

6.3:删除未经授权的 Azure 资源

指南:在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪 Azure 资产。 定期核对清单,确保及时地从订阅中删除未经授权的资源。

此外,在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型
  • 允许的资源类型

访问所引用的链接可获得更多信息。

责任:客户

Azure 安全中心监视:无

6.4:定义并维护已批准的 Azure 资源的清单

指导:为计算资源定义已批准的 Azure 资源和软件。

责任:客户

Azure 安全中心监视:无

6.5:监视未批准的 Azure 资源

指导:在 Azure 策略中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型

  • 允许的资源类型

访问所引用的链接可获得更多信息。

使用 Azure Resource Graph 查询/发现订阅中的资源。 确保环境中存在的所有 Azure 资源已获得批准。

责任:客户

Azure 安全中心监视:无

6.6:监视计算资源中未经批准的软件应用程序

指南:不适用;Azure Databricks 是一项 PaaS 服务,客户无法直接访问 Azure Databricks 群集中的 VM。

责任:客户

Azure 安全中心监视:无

6.7:删除未经批准的 Azure 资源和软件应用程序

指南:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等),包括 Azure Databricks 实例。 删除发现的任何未经批准的 Azure 资源。 对于 Azure Databricks 群集节点,请实施第三方解决方案,以删除未经批准的软件或对其发出警报。

责任:客户

Azure 安全中心监视:无

6.8:只使用已批准的应用程序

指南:不适用;Azure Databricks 是一项 PaaS 服务,你无法直接访问 Azure Databricks 群集中的 VM。

责任:客户

Azure 安全中心监视:无

6.9:仅使用已批准的 Azure 服务

指南:在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型
  • 允许的资源类型

访问所引用的链接可获得更多信息。

责任:客户

Azure 安全中心监视:无

6.10:维护已获批软件的清单

指南:不适用;Azure Databricks 是一项 PaaS 服务,你无法直接访问 Azure Databricks 群集中的 VM。

责任:客户

Azure 安全中心监视:无

6.11:限制用户与 Azure 资源管理器进行交互的能力

指南:使用 Azure 条件访问可通过为“Microsoft Azure 管理”应用配置“阻止访问”,限制用户与 Azure 资源管理器进行交互的能力。

责任:客户

Azure 安全中心监视:无

安全配置

有关详细信息,请参阅 Azure 安全基线: 安全配置

7.1:为所有 Azure 资源建立安全配置

指南:通过 Azure Policy 为 Azure Databricks 实例定义和实现标准安全配置。 使用“Microsoft.Databricks”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Databricks 实例的配置。 请注意,应用的任何策略都不适用于 Databricks 受管理资源组。

责任:客户

Azure 安全中心监视:无

7.2:建立安全的操作系统配置

指南:不适用;Azure Databricks 是一项 PaaS 服务,你无法直接访问 Azure Databricks 群集中的 VM。

责任:客户

Azure 安全中心监视:无

7.3:维护安全的 Azure 资源配置

指南:通过 Azure Policy 为 Azure Databricks 实例定义和实现标准安全配置。 使用“Microsoft.Databricks”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Databricks 实例的配置。 使用 Azure Policy [拒绝] 和 [不存在时部署] 在 Azure 资源中强制实施安全设置。

责任:客户

Azure 安全中心监视:无

7.4:维护安全的操作系统配置

指南:Azure Databricks 操作系统映像由 Microsoft 管理和维护。 你负责实现 OS 级别的状态配置。

责任:共享

Azure 安全中心监视:无

7.5:安全存储 Azure 资源的配置

指南:如果使用的是自定义 Azure 策略定义,请使用 Azure DevOps 或 Azure Repos 安全地存储和管理代码。

责任:客户

Azure 安全中心监视:无

7.6:安全存储自定义操作系统映像

指南:如果为 Azure Databricks 群集节点使用自定义映像,请将自定义基础映像推送到 Docker 注册表,如 Azure 容器注册表 (ACR)。

责任:客户

Azure 安全中心监视:无

7.7:部署 Azure 资源的配置管理工具

指南:通过 Azure Policy 为 Azure Databricks 实例定义和实现标准安全配置。 使用“Microsoft.Databricks”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Databricks 实例的配置。

责任:客户

Azure 安全中心监视:无

7.8:部署操作系统的配置管理工具

指南:不适用;Azure Databricks 是一项 PaaS 服务,你无法直接访问 Azure Databricks 群集中的 VM。

责任:客户

Azure 安全中心监视:无

7.9:为 Azure 资源实施自动配置监视

指南:通过 Azure Policy 为 Azure Databricks 实例定义和实现标准安全配置。 使用“Microsoft.Databricks”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Databricks 实例的配置。

方式

责任:客户

Azure 安全中心监视:无

7.10:针对操作系统实现自动化配置监视

指南:实现第三方解决方案,以监视 Azure Databricks 群集节点操作系统的状态。

责任:客户

Azure 安全中心监视:无

7.11:安全地管理 Azure 机密

指南:将 Azure Key Vault 与 Azure Databricks 机密作用域结合使用,以安全地管理和使用机密。

责任:客户

Azure 安全中心监视:无

7.12:安全且自动地管理标识

指南:当前不可用;托管标识当前不可用于 Azure Databricks

责任:客户

Azure 安全中心监视:无

7.13:消除意外的凭据透露

指南:实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

责任:客户

Azure 安全中心监视:无

恶意软件防护

有关详细信息,请参阅 Azure 安全基线: 恶意软件防护

8.1:使用集中管理的反恶意软件

指南:如果有漏洞管理平台订阅,则可以使用 Azure Databricks 初始化脚本在 Azure Databricks 群集节点上安装漏洞评估代理,并通过相应的门户管理节点。 注意,每个第三方解决方案的工作方式都有所不同。

责任:客户

Azure 安全中心监视:无

8.2:预扫描要上传到非计算 Azure 资源的文件

指南:Microsoft Antimalware 会在支持 Azure 服务(例如 Azure 应用服务)的基础主机上启用,但不会对客户内容运行。

预扫描上传到 Azure Databricks 群集节点或相关资源的任何文件。

责任:客户

Azure 安全中心监视:无

步骤 8.3:确保反恶意软件和签名已更新

指南:如果有漏洞管理平台订阅,则可以使用 Azure Databricks 初始化脚本在 Azure Databricks 群集节点上安装漏洞评估代理,并通过相应的门户管理节点。 注意,每个第三方解决方案的工作方式都有所不同。

责任:客户

Azure 安全中心监视:无

数据恢复

有关详细信息,请参阅 Azure 安全基线: 数据恢复

9.1:确保定期执行自动备份

指南:对于 Azure Databricks 数据源,请确保为用例配置了适当的数据冗余级别。 例如,如果对 Azure Databricks 数据存储使用 Azure 存储帐户,请选择适当的冗余选项(LRS、ZRS、GRS、RA-GRS)。

责任:客户

Azure 安全中心监视:无

9.2:执行完整系统备份,并备份客户管理的所有密钥

指导:备份 Azure Key Vault 中与 Azure Databricks 实现相关的任何客户管理的密钥。 还可使用 REST API 和 CLI 创建 Databricks 配置的每日备份。

责任:客户

Azure 安全中心监视:无

9.3:验证所有备份,包括客户管理的密钥

指导:测试与 Azure Databricks 实现相关的已备份客户管理的密钥的还原。

责任:客户

Azure 安全中心监视:无

9.4:确保保护备份和客户管理的密钥

指南:确保在 Key Vault 中启用软删除,以防意外或恶意删除密钥。

责任:客户

Azure 安全中心监视:无

事件响应

有关详细信息,请参阅 Azure 安全基线: 事件响应

10.1:创建事件响应指导

指南:为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理/管理从检测到事件后审查的各个阶段。

责任:客户

Azure 安全中心监视:无

10.2:创建事件评分和优先级设定过程

指南:安全中心向每个警报分配一个严重性,帮助你优先处理应首先调查的警报。 严重性取决于安全中心对调查结果或用于发出警报的分析的确信程度,以及对导致警报的活动背后存在恶意意图的确信程度。

另外,还清楚标记订阅(例如生产、非生产)并创建命名系统,以便对 Azure 资源进行明确标识和分类。

责任:客户

Azure 安全中心监视:无

10.3:测试安全响应过程

指导:定期执行演练来测试系统的事件响应功能。 识别弱点和差距,并根据需要修改计划。

责任:客户

Azure 安全中心监视:无

10.4:提供安全事件联系人详细信息,并针对安全事件配置警报通知

指南:如果 Microsoft 安全响应中心 (MSRC) 发现客户数据被某方非法访问或未经授权访问,Microsoft 会使用安全事件联系信息联系用户。 在事后审查事件,以确保问题得到解决。

责任:客户

Azure 安全中心监视:无

10.5:将安全警报整合到事件响应系统中

指导:使用连续导出功能导出 Azure 安全中心警报和建议。 使用连续导出可以手动导出或者持续导出警报和建议。 可以使用 Azure 安全中心数据连接器将警报流式传输到 Sentinel。

责任:客户

Azure 安全中心监视:无

10.6:自动响应安全警报

指导:使用 Azure 安全中心内的工作流自动化功能可以通过“逻辑应用”针对安全警报和建议自动触发响应。

责任:客户

Azure 安全中心监视:无

渗透测试和红队练习

有关详细信息,请参阅 Azure 安全基线: 渗透测试和红队演练

11.1:定期对 Azure 资源执行渗透测试,确保修正所有发现的关键安全问题

指导:请遵循 Microsoft 互动规则,确保你的渗透测试不违反 Microsoft 政策。 可详细了解 Microsoft 的相关策略,以及如何针对 Microsoft 托管云基础结构、服务和应用程序执行红队测试和实时站点渗透测试。

责任:共享

Azure 安全中心监视:无

后续步骤