本页介绍如何在 Azure Databricks 工作区上配置增强的安全性和符合性设置。
重要
- 启用合规安全概况或向工作区添加合规标准是永久性更改。
- 如果工作区曾处理过受管制数据,则无法删除合规配置文件或单个标准。 若要还原,必须删除工作区,并在不使用配置文件或使用不同标准的情况下创建一个新的工作区。 如需帮助,请联系 Azure Databricks 支持部门。
要求
- Azure Databricks 工作区位于高级定价层。
- 您的 Databricks 帐户必须包含安全性和合规性增强加载项。
- 你只负责验证客户定义的输入字段中是否从未输入敏感信息,例如工作区名称、计算资源名称、标记、作业名称、作业运行名称、网络名称、凭据名称、存储帐户名称和 Git 存储库 ID 或 URL。 这些字段可能在符合性边界之外存储、处理或访问。
合规安全配置要求
如果工作区配置为限制出站网络访问,则必须将网络配置为额外允许流向端口 2443 的流量。 请参阅在 Azure 虚拟网络中部署 Azure Databricks(VNet 注入)。
不支持基于 Arm64 的虚拟机。 启用符合性安全配置文件时,Azure Databricks 不允许使用基于 Arm64 的 VM 实例类型启动计算。
必须在工作区上启用 Azure 虚拟网络加密。 请参阅 什么是 Azure 虚拟网络加密?
必须使用支持 Azure 虚拟网络加密的 VM 实例类型。 请参阅 Azure 虚拟网络加密要求。
注释
在启用了符合性安全配置文件的工作区上, 默认禁用合作伙伴支持的 AI 功能 设置。 某些 Databricks AI 辅助功能(包括助手和 Genie)也处于禁用状态。 工作区管理员可以通过启用 合作伙伴支持的 AI 功能来启用这些功能。
在工作区上启用增强的安全性和合规性功能
可以使用 Azure 门户、Azure CLI、Powershell、ARM 模板或 Terraform 创建具有增强安全性和合规性功能的工作区。
使用 Azure 门户
在 Azure 门户中,单击现有 Azure Databricks 工作区上的或 Azure Databricks 工作区创建页面上的“设置”>“安全性与合规性”选项卡。
若要启用合规性安全配置文件,请选中“启用合规性安全配置文件”旁边的复选框。 在下拉列表中选择一项或多项合规性标准,或者选择“无”。 下拉列表列出了工作区区域中可用的符合性标准。
如果启用了合规性安全配置文件或添加了合规性标准,则这些选择对该工作区是永久性的。
若要启用增强的安全监视,请选中“启用增强的安全监视”复选框。
若要启用自动群集更新,请选中“启用自动群集更新”复选框。
若要配置维护时段及其频率,请参阅自动群集更新
使用 Azure CLI
可以使用 Azure CLI 创建具有增强安全性和合规性功能的工作区。 可能的符合性标准包括:HIPAA、PCI_DSS、HITRUST、IRAP_PROTECTED、UK_CYBER_ESSENTIALS_PLUS、CANADA_PROTECTED_B或NONE。 可以选择多个符合性标准。 例如:
az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring
使用 Powershell
可以使用 Powershell 创建具有增强安全性和合规性功能的工作区。 可能的符合性标准包括:HIPAA、PCI_DSS、HITRUST、IRAP_PROTECTED、UK_CYBER_ESSENTIALS_PLUS、CANADA_PROTECTED_B或NONE。 可以选择多个符合性标准。 例如:
New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")
使用 ARM 模板
可以使用 Databricks 提供的 ARM 模板配置增强的安全性和合规性加载项功能。 它包含可设置为 Enabled 或 Disabled 的其他参数。 如果要将它们添加到现有模板以更新工作区,可以执行此操作。 可以独立设置功能,除非另有说明:
-
complianceSecurityProfile:启用合规性安全配置文件。 启用后,会在工作区上永久启用此功能。 -
complianceStandards:配置合规性标准的某个数组以与合规性安全配置文件一起使用。- 如果
complianceSecurityProfile设置为Disabled,则传递一个空数组。 - 如果
complianceSecurityProfile设置为Enabled,则必须传递一个或多个字符串的数组,这些字符串指定你的工作区所需的合规性标准(如果有)。 可能的选择包括HIPAA、、PCI_DSS、HITRUSTIRAP_PROTECTED、UK_CYBER_ESSENTIALS_PLUS、或CANADA_PROTECTED_BNONE。 如果只出于安全优势使用合规性安全配置文件,而不处理任何受监管的数据,请添加单个数组元素NONE。
- 如果
-
enhancedSecurityMonitoring— 启用增强的安全监视。 如果启用了合规性安全配置文件,则必须在模板中将此功能显式设置为Enabled。 -
automaticClusterUpdate— 启用自动群集更新。 如果启用了合规性安全配置文件,则必须在模板中将此功能显式设置为Enabled。 若要配置维护时段及其频率,请参阅自动群集更新。
若要使用其中一个或多个功能更新工作区,请参照与使用模板创建新工作区相同的说明部署自定义模板。 但是,请检查你是否使用原始模板,然后将提供的示例模板中的字段复制到现有的工作区模板中。
具有增强的安全性和合规性功能的工作区模板
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": ["standard", "premium"],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HITRUST"],
["IRAP_PROTECTED"],
["UK_CYBER_ESSENTIALS_PLUS"],
["CANADA_PROTECTED_B"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
使用 Terraform
还可以使用用于 Databricks 的 azurerm Terraform 插件在 Azure Databricks 工作区上启用增强的安全性和合规性。 有关 azurerm Terraform 插件的详细信息,请参阅 azurerm_databricks_workspace。
例如,若要创建启用了符合性控制的 Azure Databricks 工作区,请使用以下内容:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "HITRUST", "IRAP_PROTECTED", "UK_CYBER_ESSENTIALS_PLUS", "CANADA_PROTECTED_B", "NONE"]
enhanced_security_monitoring_enabled = true
}
}
确认工作区是否启用了合规性安全配置文件
可以在帐户控制台的工作区页上的“安全性和合规性”选项卡中确认工作区是否正在使用合规性安全配置文件。
工作区还具有工作区 UI 中显示的盾牌徽标。 在页面右上角显示一个盾牌徽标,位于工作区名称的右侧。 单击工作区名称以查看你有权访问的工作区的列表。 启用合规安全配置文件的工作区具有盾牌图标。
从工作区的
如果启用了合规性安全配置文件的工作区缺少防护图标,请联系 Azure Databricks 客户团队。