Condividi tramite

Configurare impostazioni avanzate di sicurezza e conformità

Questa pagina descrive come configurare le impostazioni avanzate di sicurezza e conformità nell'area di lavoro Azure Databricks.

Importante

  • L'abilitazione del profilo di sicurezza della conformità o l'aggiunta di standard di conformità a un'area di lavoro è intesa per essere una modifica permanente.
  • Non è possibile rimuovere il profilo di conformità o i singoli standard da un'area di lavoro se vi sono stati elaborati dati regolamentati, anche una sola volta. Per ripristinare, è necessario eliminare l'area di lavoro e crearne una nuova senza il profilo o con uno standard diverso. Per assistenza, contattare Azure Databricks supporto tecnico.

Requisiti

  • L'area di lavoro Azure Databricks si trova nel piano tariffario Premium.
  • L'account Databricks deve includere il componente aggiuntivo Sicurezza e conformità avanzata.
  • L'utente è esclusivamente responsabile della verifica che le informazioni riservate non vengano mai immesse nei campi di input definiti dal cliente, ad esempio nomi di area di lavoro, nomi di risorse di calcolo, tag, nomi di processi, nomi di esecuzione dei processi, nomi di rete, nomi di credenziali, nomi di account di archiviazione e ID repository Git o URL. Questi campi possono essere archiviati, elaborati o accessibili all'esterno del limite di conformità.

Requisiti del profilo di sicurezza di conformità

  • Se l'area di lavoro è configurata per limitare l'accesso alla rete in uscita, è necessario configurare la rete per consentire anche il traffico verso la porta 2443. Consulta Distribuire Azure Databricks nella rete virtuale di Azure (iniezione VNet).

  • Le macchine virtuali basate su Arm64 non sono supportate. Azure Databricks non consente l'avvio del calcolo con i tipi di istanza di macchina virtuale basati su Arm64 quando il profilo di sicurezza della conformità è abilitato.

  • La crittografia di Azure Virtual Network deve essere abilitata nella tua area di lavoro. Consulta Cos'è la crittografia della rete virtuale di Azure?

  • È necessario usare un tipo di istanza di macchina virtuale che supporta la crittografia Azure Virtual Network. Vedere i requisiti di crittografia per Azure Virtual Network.

Annotazioni

Nelle aree di lavoro che hanno abilitato il profilo di sicurezza della conformità, l'impostazione delle funzionalità di intelligenza artificiale basata su partner è disabilitata per impostazione predefinita. Sono disabilitate anche alcune funzionalità di assistive feature di intelligenza artificiale di Databricks, tra cui Genie Code e Genie. Gli amministratori dell'area di lavoro possono abilitare queste funzionalità abilitando le funzionalità di intelligenza artificiale basate su partner.

Abilitare funzionalità avanzate di sicurezza e conformità in un'area di lavoro

È possibile creare un'area di lavoro con funzionalità avanzate di sicurezza e conformità usando il portale di Azure, il Azure CLI, PowerShell, un modello di Resource Manager o Terraform.

Usare il portale di Azure

  1. Nel portale di Azure fare clic sul Impostazioni > Sicurezza e conformità un'area di lavoro Azure Databricks esistente o nella pagina di creazione dell'area di lavoro Azure Databricks.

  2. Per abilitare il profilo di sicurezza della conformità, selezionare la casella di controllo accanto a Abilita profilo di sicurezza della conformità. Nell'elenco a discesa selezionare uno o più standard di conformità o selezionare Nessuno. L'elenco a discesa elenca gli standard di conformità disponibili nell'area dell'area di lavoro.

    Funzionalità aggiuntive di Enhanced Security e Compliance nel portale di Azure per le nuove aree di lavoro.

    Se si abilita il profilo di sicurezza della conformità o si aggiungono standard di conformità, tali selezioni sono permanenti per tale area di lavoro.

  3. Per abilitare il monitoraggio della sicurezza avanzato, selezionare la casella di controllo Abilita monitoraggio della sicurezza avanzata.

  4. Per abilitare l'aggiornamento automatico del cluster, selezionare la casella di controllo Abilita aggiornamento automatico del cluster.

    Per configurare la finestra di manutenzione e la relativa frequenza, vedere Aggiornamento automatico del cluster

Usare il Azure CLI

È possibile creare un'area di lavoro con funzionalità avanzate di sicurezza e conformità usando il Azure CLI. I possibili standard di conformità includono: HIPAA, PCI_DSSHITRUST, IRAP_PROTECTED, , UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_Bo NONE. È possibile selezionare più standard di conformità. Per esempio:

az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring

Usare PowerShell

È possibile creare un'area di lavoro con funzionalità avanzate di sicurezza e conformità usando PowerShell. I possibili standard di conformità includono: HIPAA, PCI_DSSHITRUST, IRAP_PROTECTED, , UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_Bo NONE. È possibile selezionare più standard di conformità. Per esempio:

New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")

Usare un modello ARM

È possibile configurare le funzionalità del componente aggiuntivo Sicurezza e conformità avanzata con un modello di Resource Manager fornito da Databricks. Contiene parametri aggiuntivi che è possibile impostare su Enabled o Disabled. Se si desidera aggiungerli a un modello esistente per aggiornare l'area di lavoro, è possibile farlo. È possibile impostare le funzionalità in modo indipendente, ad eccezione di quanto indicato:

  • complianceSecurityProfile: abilita il profilo di sicurezza della conformità. Una volta abilitata, questa funzionalità è abilitata in modo permanente nell'area di lavoro.
  • complianceStandards: configura una matrice di standard di conformità da usare con il profilo di sicurezza di conformità.
    • Se complianceSecurityProfile è impostato su Disabled, passare una matrice vuota.
    • Se complianceSecurityProfile è impostato su Enabled, è necessario passare una matrice di una o più stringhe che specificano gli standard di conformità (se presenti) desiderati per l'area di lavoro. Le selezioni possibili sono HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTEDUK_CYBER_ESSENTIALS_PLUS, , CANADA_PROTECTED_Bo NONE. Aggiungere il singolo elemento di matrice NONE se si usa il profilo di sicurezza della conformità solo per i vantaggi di sicurezza, ma non per elaborare dati regolamentati.
  • enhancedSecurityMonitoring — Abilita il monitoraggio della sicurezza avanzato. Se il profilo di sicurezza della conformità è abilitato, è necessario impostare questa funzionalità Enabled in modo esplicito nel modello.
  • automaticClusterUpdate — Abilita l'aggiornamento automatico del cluster. Se il profilo di sicurezza della conformità è abilitato, è necessario impostare questa funzionalità Enabled in modo esplicito nel modello. Per configurare la finestra di manutenzione e la relativa frequenza, vedere Aggiornamento automatico del cluster.

Per aggiornare un'area di lavoro con una o più di queste funzionalità, seguire le stesse istruzioni per la distribuzione di un modello personalizzato come si farebbe per la creazione di una nuova area di lavoro con un modello. Verificare tuttavia di usare il modello originale e quindi copiare i campi dal modello di esempio fornito nel modello di area di lavoro esistente.

Modello di area di lavoro con funzionalità avanzate di sicurezza e conformità

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": ["standard", "premium"],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
    "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
    "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
    "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HITRUST"],
        ["IRAP_PROTECTED"],
        ["UK_CYBER_ESSENTIALS_PLUS"],
        ["CANADA_PROTECTED_B"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

Usare Terraform

È anche possibile abilitare sicurezza e conformità avanzata in un'area di lavoro Azure Databricks usando il plug-in azurerm Terraform per Databricks. Quando si usa Terraform, è possibile aggiungere solo HIPAA, PCI_DSSo NONE come standard di conformità. È necessario configurare altri standard di conformità tramite il portale di Azure, i modelli di Azure CLI, PowerShell o ARM.

Per altre informazioni sul plug-in Terraform azurerm, vedere azurerm_databricks_workspace.

Ad esempio, per creare un'area di lavoro Azure Databricks con i controlli di conformità abilitati, usare quanto segue:

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "NONE"]
  enhanced_security_monitoring_enabled  = true
  }
}

Verificare che il profilo di sicurezza della conformità sia abilitato per un'area di lavoro

È possibile verificare che un'area di lavoro usi il profilo di sicurezza della conformità nella scheda Sicurezza e conformità nella pagina della console dell'account dell'area di lavoro.

Conto Shield.

L'area di lavoro ha anche un logo shield visualizzato nell'interfaccia utente dell'area di lavoro. Nella parte superiore destra della pagina viene visualizzato un logo scudo a destra del nome dell'area di lavoro. Fare clic sul nome dell'area di lavoro per visualizzare un elenco delle aree di lavoro a cui si ha accesso. Gli spazi di lavoro che abilitano il profilo di sicurezza della conformità hanno un'icona a forma di scudo.

Logo Shield dall'area di lavoro.

Se le icone a forma di scudo mancano per un'area di lavoro con il profilo di sicurezza di conformità abilitato, contattare il team dell'account Azure Databricks.

  • Last updated on