このページでは、コンプライアンス セキュリティ プロファイル、コンプライアンスコントロール、サポートされている機能について説明します。 コンプライアンス セキュリティ プロファイルを有効にするには、「 セキュリティとコンプライアンスの強化設定を構成する」を参照してください。
コンプライアンス セキュリティ プロファイルの概要
コンプライアンス セキュリティ プロファイルを使用すると、Azure Databricks ワークスペースでの追加の監視、強化されたコンピューティング イメージ、その他の機能と制御が可能になります。 コンプライアンス セキュリティ プロファイルには、いくつかのコンプライアンス標準の該当するセキュリティ要件を満たすのに役立つコントロールが含まれています。
コンプライアンス セキュリティ プロファイルは、Azure Databricks を使用して、次の条件で規制されているデータを処理するために必要です。
コンプライアンス セキュリティ プロファイルは、パブリック プレビューのコンプライアンス標準で規制されているデータを処理する場合に強くお勧めします。 これらのワークロードが一般提供に達すると、コンプライアンス セキュリティ プロファイルが必要になります。
また、Databricks では、コンプライアンス セキュリティ プロファイルを有効にして HIPAA でデータを処理することを強くお勧めしますが、必須ではありません。
また、コンプライアンス標準に準拠せずに、強化されたセキュリティ機能のコンプライアンス セキュリティ プロファイルを有効にすることもできます。
Important
- 適用されるすべての法律と規制に対する独自のコンプライアンスの確保については、お客様のみの責任で行っていただきます。
- HIPAA 以外のコンプライアンスについては、規制対象データを処理する前に、コンプライアンス セキュリティ プロファイルと適切なコンプライアンス標準が構成されていることを確認する責任を単独で負います。 PHI データを処理する場合、Databricks では、コンプライアンス セキュリティ プロファイルを使い、HIPAA コンプライアンス標準を選ぶことを強く推奨しています。
- ワークスペース名、コンピューティング リソース名、タグ、ジョブ名、ジョブ実行名、ネットワーク名、資格情報名、ストレージ アカウント名、Git リポジトリ ID または URL など、顧客が定義した入力フィールドに機密情報が入力されないようにします。 これらのフィールドは、コンプライアンス境界外に格納、処理、またはアクセスされる場合があります。
任意のワークスペースでこの機能を有効にした場合、価格ページで説明されているように、セキュリティとコンプライアンスの強化アドオンに対して課金されます。
コンプライアンス セキュリティ プロファイルのセキュリティ強化
次のセキュリティの強化が含まれています。
CIS レベル 1 の強化されたイメージ。
クラスターの自動更新。構成可能なメンテナンス期間中に定期的に再起動することで、クラスターに最新の更新プログラムがあることを確認します。 クラスターの自動更新を参照してください。
セキュリティ監視が強化されました。これには、レビュー可能なログを生成する監視エージェントが含まれます。 Azure Databricks コンピューティング プレーン イメージの監視エージェントを参照してください。
クラスター内およびエグレス用の通信では、メタストアとの通信を含め、TLS 1.2 以降が使用されます。
リージョン別のクラシック コンピューティングとサーバーレス コンピューティングのサポート
コンプライアンス セキュリティ プロファイルは、クラシック コンピューティング プレーンとサーバーレス コンピューティング プレーンの両方でコンピューティング リソースに適用されるコンプライアンス標準を決定します。
従来のコンピューティング リソースでは、リージョン間で幅広いコンプライアンス標準がサポートされています。 サーバーレス コンピューティング リソース (サーバーレス SQL ウェアハウス、ノートブックとワークフロー用のサーバーレス コンピューティング、サーバーレス Lakeflow 宣言パイプライン) では、コンプライアンスの標準とリージョンに応じてサポートが制限されます。
次の表に、各コンピューティング プレーンでサポートされているコンプライアンス標準と、対応するサポートされているリージョンを示します。
| コンプライアンス標準 | 従来のコンピューティング プレーンのサポート | サーバーレス コンピューティング プレーンのサポート |
|---|---|---|
| CCCS ミディアム (Protected B) |
canadacentral、canadaeast |
None |
| HIPAA | すべてのリージョン | サーバーレスを使用するすべてのリージョン |
| HITRUST | すべてのリージョン | None |
| IRAP |
australiacentral、 australiacentral2、 australiaeast、 australiasoutheast |
None |
| PCI-DSS |
switzerlandwest を除くすべてのリージョン |
australia-east |
| 英国 Cyber Essentials Plus |
ukwest、uksouth |
None |
コンピューティング プレーン アーキテクチャの詳細については、「 アーキテクチャの概要」を参照してください。
サポートされているプレビュー機能
コンプライアンス標準で規制されているデータの処理については、このセクションに記載されているプレビュー機能のみがサポートされています。 その他のプレビュー機能はすべてサポートされていません。
パブリック プレビュー機能
-
ワークスペース レベルの SCIM プロビジョニングは、従来の機能です。 Databricks では、代わりにアカウント レベルの SCIM プロビジョニングを使用することをお勧めします。
ベータ機能
プライベート プレビュー機能
- DBFS の無効化
- Databricks One
- データ ガバナンス ハブ
サーバーレス コンピューティングでのみ使用できるプレビュー機能
これらの機能は、サーバーレス コンピューティング プレーンをサポートするコンプライアンス標準でのみサポートされます。 リージョン別のクラシック コンピューティングとサーバーレス コンピューティングのサポートを参照してください。
サーバーレス パブリック プレビュー機能
サーバーレス ベータ機能
サーバーレス プライベート プレビュー機能
- サーバーレス予測 Python SDK
HIPAA でサポートされる追加のプレビュー機能
HIPAA では、上記のすべてのプレビュー機能と、次の追加のプレビュー機能がサポートされています。