Definir configurações aprimoradas de segurança e conformidade

Esta página descreve como configurar definições melhoradas de segurança e conformidade no seu espaço de trabalho do Azure Databricks.

Importante

Habilitar o perfil de segurança de conformidade ou adicionar padrões de conformidade a um espaço de trabalho pretende ser uma mudança permanente.
Não pode remover o perfil de conformidade ou as normas individuais de um espaço de trabalho se este alguma vez processou dados regulados. Para reverter, você deve excluir o espaço de trabalho e criar um novo sem o perfil ou com um padrão diferente. Para ajuda, contacte o suporte do Azure Databricks.

Requerimentos

O seu espaço de trabalho Azure Databricks está no escalão de preços Premium.
Sua conta Databricks deve incluir o complemento Segurança Reforçada e Conformidade.

É o único responsável por verificar que informações sensíveis nunca são inseridas em campos de entrada definidos pelo cliente, como nomes de espaços de trabalho, nomes de recursos de computação, etiquetas, nomes de trabalhos, nomes de execução de trabalhos, nomes de rede, nomes de credenciais, nomes de contas de armazenamento e IDs ou URLs de repositórios Git. Esses campos podem ser armazenados, processados ou acessados fora do limite de conformidade.

Requisitos de perfil de segurança de conformidade

Se o espaço de trabalho estiver configurado para restringir o acesso de saída à rede, você deverá configurar sua rede para permitir adicionalmente o tráfego para a porta 2443. Veja Implementar o Azure Databricks na rede virtual Azure (injeção de VNet).
Não há suporte para máquinas virtuais baseadas em Arm64. O Azure Databricks não permite iniciar computação com tipos de instância de VM baseados em Arm64 quando o perfil de segurança de conformidade está ativado.
A encriptação do Rede Virtual do Azure deve estar ativada no seu espaço de trabalho. Veja O que é a encriptação da Rede Virtual do Azure?
Deve usar um tipo de instância VM que suporte encriptação do Rede Virtual do Azure. Veja requisitos de encriptação da Rede Virtual do Azure.

Observação

Em espaços de trabalho que habilitaram o perfil de segurança de conformidade, a configuração Recursos de IA alimentados por parceiros é desabilitada por padrão. Algumas funcionalidades assistivas de IA do Databricks, incluindo o Genie Code, também estão desativadas. Os administradores de espaços de trabalho podem ativar esses recursos ao habilitar recursos de IA potenciados por parceiros.

Habilite recursos aprimorados de segurança e conformidade em um espaço de trabalho

Pode criar um espaço de trabalho com funcionalidades melhoradas de segurança e conformidade usando o portal Azure, a CLI do Azure, Powershell, um modelo ARM ou Terraform.

Usar o portal Azure

No portal Azure, clique em Definições Segurança & Conformidade num espaço de trabalho Azure Databricks existente ou na página de criação do espaço de trabalho Azure Databricks.
Para habilitar o perfil de segurança de conformidade, marque a caixa de seleção ao lado de Habilitar perfil de segurança de conformidade. No menu suspenso, selecione um ou mais padrões de conformidade ou selecione Nenhum. A lista suspensa mostra os padrões de conformidade disponíveis na região do espaço de trabalho.

Se você habilitar o perfil de segurança de conformidade ou adicionar padrões de conformidade, essas seleções serão permanentes para esse espaço de trabalho.
Para habilitar o monitoramento de segurança aprimorado, marque a caixa de seleção Habilitar monitoramento de segurança avançado.
Para habilitar a atualização automática de cluster, marque a caixa de seleção Habilitar atualização automática de cluster.

Para configurar a janela de manutenção e sua frequência, consulte Atualização automática de cluster

Usa o CLI do Azure

Pode criar um espaço de trabalho com funcionalidades de segurança e conformidade melhoradas usando a CLI do Azure. As possíveis normas de conformidade incluem: HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUSCANADA_PROTECTED_B, ou NONE. Você pode selecionar mais de um padrão de conformidade. Por exemplo:

az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring

Usar o Powershell

Você pode criar um espaço de trabalho com recursos aprimorados de segurança e conformidade usando o Powershell. As possíveis normas de conformidade incluem: HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUSCANADA_PROTECTED_B, ou NONE. Você pode selecionar mais de um padrão de conformidade. Por exemplo:

New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")

Usar um modelo ARM

Você pode configurar os recursos do complemento Segurança Reforçada e Conformidade com um modelo ARM fornecido pelo Databricks. Ele contém parâmetros adicionais que você pode definir como Enabled ou Disabled. Se você quiser adicioná-los a um modelo existente para atualizar o espaço de trabalho, poderá fazê-lo. Você pode definir recursos de forma independente, exceto conforme indicado:

complianceSecurityProfile: Habilita o perfil de segurança de conformidade. Uma vez habilitado, esse recurso é habilitado permanentemente no espaço de trabalho.
complianceStandards: Configura uma matriz de padrões de conformidade para usar com o perfil de segurança de conformidade.
- Se complianceSecurityProfile estiver definido como Disabled, passe uma matriz vazia.
- Se complianceSecurityProfile estiver definido como Enabled, você deverá passar uma matriz de uma ou mais cadeias de caracteres que especifiquem quais (se houver) padrões de conformidade você deseja para seu espaço de trabalho. As seleções possíveis são HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_B, ou NONE. Adicione o elemento NONE de matriz única se estiver usando o perfil de segurança de conformidade apenas por seus benefícios de segurança, mas não para processar dados regulamentados.
enhancedSecurityMonitoring — permite um monitoramento de segurança aprimorado. Se o perfil de segurança de conformidade estiver habilitado, você deverá definir esse recurso para Enabled explicitamente no modelo.
automaticClusterUpdate — Habilita a atualização automática do cluster. Se o perfil de segurança de conformidade estiver habilitado, você deverá definir esse recurso para Enabled explicitamente no modelo. Para configurar a janela de manutenção e sua frequência, consulte Atualização automática de cluster.

Para atualizar um espaço de trabalho com um ou mais desses recursos, siga as mesmas instruções para implantar um modelo personalizado como faria para criar um novo espaço de trabalho com um modelo. No entanto, verifique se você usa seu modelo original e, em seguida, copie os campos do modelo de exemplo fornecido para seu modelo de espaço de trabalho existente.

Modelo de espaço de trabalho com recursos aprimorados de segurança e conformidade

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": ["standard", "premium"],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
    "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
    "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": ["Disabled", "Enabled"],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
    "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HITRUST"],
        ["IRAP_PROTECTED"],
        ["UK_CYBER_ESSENTIALS_PLUS"],
        ["CANADA_PROTECTED_B"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

Use Terraform

A segurança e conformidade reforçadas também podem ser ativadas num espaço de trabalho Azure Databricks usando o plugin Terraform azurerm para Databricks. Ao usar o Terraform, apenas HIPAA, PCI_DSS, ou NONE podem ser adicionados como normas de conformidade. Outros padrões de conformidade devem ser configurados através do portal Azure, CLI do Azure, PowerShell ou templates ARM.

Para obter mais informações sobre o plug-in azurerm Terraform, consulte azurerm_databricks_workspace.

Por exemplo, para criar um espaço de trabalho Azure Databricks com controlos de conformidade ativados, use o seguinte:

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "NONE"]
  enhanced_security_monitoring_enabled  = true
  }
}

Confirmar se o perfil de segurança de conformidade está habilitado para um espaço de trabalho

Você pode confirmar se um espaço de trabalho está usando o perfil de segurança de conformidade na guia Segurança e conformidade na página do espaço de trabalho no console da conta.

Conta protegida.

O espaço de trabalho também tem um logotipo de escudo exibido na interface do espaço de trabalho. Um logotipo de escudo aparece no canto superior direito da página, à direita do nome do espaço de trabalho. Clique no nome do espaço de trabalho para ver uma lista dos espaços de trabalho aos quais você tem acesso. Os espaços de trabalho que habilitam o perfil de segurança de conformidade têm um ícone de escudo.

Se os ícones de escudo estiverem em falta para um espaço de trabalho com o perfil de segurança de conformidade ativado, entre em contacto com a sua equipa de contas do Azure Databricks.

Comentários

Esta página foi útil?

Last updated on 2026-04-27