本页介绍符合性安全配置文件、其符合性控制和支持的功能。 若要启用合规性安全配置文件,请参阅配置增强的安全性和合规性设置。
合规性安全配置文件概述
合规性安全配置文件为 Azure Databricks 工作区提供了额外的监控、强化的计算镜像,以及其他功能和控制措施。 合规性安全配置文件包括有助于满足一些合规性标准的适用安全要求的控件。
合规性安全配置文件需要使用 Azure Databricks 来处理受以下限制的数据:
强烈建议使用合规性安全配置文件来处理根据公共预览合规性标准监管的数据。 这些工作负荷在正式发布后,将需要符合性安全配置文件。
Databricks 还强烈建议启用合规性安全配置文件以在 HIPAA 下处理数据,但这不是必需的。
您还可以选择启用符合性安全配置文件,以增强其安全功能,而无需遵循特定的符合性标准。
Important
- 你全权负责确保自己遵守所有适用的法律和法规。
- 对于 HIPAA 以外的合规性,你只负责确保在处理受管制数据之前配置符合性安全配置文件和适当的符合性标准。 对于 PHI 数据的处理,Databricks 强烈建议使用合规性安全配置文件并选择 HIPAA 合规性标准。
- 确保永远不会在客户定义的输入字段中输入敏感信息,例如工作区名称、计算资源名称、标记、作业名称、作业运行名称、网络名称、凭据名称、存储帐户名称和 Git 存储库 ID 或 URL。 这些字段可能在符合性边界之外存储、处理或访问。
如果在任何工作区启用此功能,则需按照定价页上的说明为增强的安全性和合规性加载项付费。
合规性安全配置文件安全增强功能
安全性增强功能包括:
CIS 级别 1 强化映像。
自动群集更新,通过在可配置的维护时段定期重启群集,确保群集具有最新的更新。 请参阅自动群集更新。
增强的安全监视,其中包括生成可查看日志的监视代理。 请参阅 Azure Databricks 计算平面映像中的监视代理。
群集中的通信和出口使用 TLS 1.2 或更高版本,包括与元存储的通信。
按区域提供的经典和无服务器计算支持
合规性安全配置文件确定在经典计算平面和无服务器计算平面中为计算资源强制执行哪些符合性标准。
经典计算资源支持跨区域的各种合规性标准。 无服务器计算资源(无服务器 SQL 仓库、用于笔记本和工作流的无服务器计算,以及无服务器 Lakeflow 声明式管道)的支持范围在不同的合规标准和区域下可能会有所限制。
下表列出了每个计算平面和相应的支持区域支持哪些符合性标准:
| 合规标准 | 经典计算平面支持 | 无服务器计算平台的支持 |
|---|---|---|
| CCCS 中等(保护级别B) |
canadacentral、canadaeast |
None |
| HIPAA | 所有区域 | 具有无服务器的所有区域 |
| HITRUST | 所有区域 | None |
| IRAP |
australiacentral、australiacentral2、australiaeast、australiasoutheast |
None |
| PCI-DSS | 所有区域 | australia-east |
| 英国 Cyber Essentials Plus |
ukwest、uksouth |
None |
有关计算平面体系结构的详细信息,请参阅 高级体系结构。
支持的预览功能
仅支持本部分中列出的预览功能来处理符合性标准下监管的数据。 不支持所有其他预览功能。
公共预览版功能
-
工作区级 SCIM 预配是一项旧功能。 Databricks 建议改用帐户级 SCIM 预配。
Beta 版本功能
个人预览版功能
- DBFS 禁用
- Databricks One
- 数据管理中心
预览功能仅适用于无服务器计算
这些功能仅在符合性标准支持无服务器计算平面的情况下才受支持。 请参阅 经典计算和无服务器计算支持(按区域)。
无服务器公共预览版功能
无服务器 Beta 功能
无服务器个人预览版功能
- 无服务器预测 Python SDK
HIPAA 支持的其他预览功能
HIPAA 支持上述所有预览功能,还支持以下附加预览功能: