이 페이지에서는 Azure Databricks 작업 영역에서 향상된 보안 및 규정 준수 설정을 구성하는 방법을 설명합니다.
중요합니다
- 규정 준수 보안 프로필을 사용하도록 설정하거나 작업 영역에 규정 준수 표준을 추가하는 것은 영구적인 변경입니다.
- 규제 대상 데이터를 처리한 경우 작업 영역에서 규정 준수 프로필 또는 개별 표준을 제거할 수 없습니다. 되돌리려면 작업 영역을 삭제하고 프로필이 없거나 다른 표준으로 새 작업 영역을 만들어야 합니다. 도움말을 보려면 Azure Databricks 지원에 문의하세요.
요구 사항
- Azure Databricks 작업 영역은 프리미엄 가격 계층에 속합니다.
- 귀하의 Databricks 계정에는 보안 강화 및 컴플라이언스 추가 기능이 포함되어 있어야 합니다.
- 작업 영역 이름, 클러스터 이름, 태그 및 작업 이름과 같은 고객 정의 입력 필드에 중요한 정보가 입력되지 않도록 합니다.
규정 준수 보안 프로필 요구 사항
작업 영역이 아웃바운드 네트워크 액세스를 제한하도록 구성된 경우 포트 2443에 대한 트래픽을 추가로 허용하도록 네트워크를 구성해야 합니다. Azure 가상 네트워크에서 Azure Databricks 배포(VNet 삽입)를 참조하세요.
2세대 VM 및 Arm64 기반 가상 머신은 지원되지 않습니다. Azure Databricks는 규정 준수 보안 프로필을 사용하는 경우 해당 인스턴스 유형으로 컴퓨팅을 시작하는 것을 허용하지 않습니다.
다음 VM 인스턴스 유형을 사용해야 합니다.
범용: Dv5 및 Dsv5 시리즈, Ddv5 및 Ddsv5 시리즈, Dlsv5 및 Dldsv5 시리즈, Dasv5 및 Dadsv5 시리즈, Dasv6 및 Dadsv6 시리즈, Dalsv6 및 Daldsv6 시리즈, Dsv6 시리즈, Dplsv6 및 Dpldsv6 시리즈, Dpsv6 및 Dpdsv6 시리즈
메모리 집약적 워크로드: Ev5 및 Esv5 시리즈, Edv5 및 Edsv5 시리즈, Easv5 및 Eadsv5 시리즈, Easv6 및 Eadsv6 시리즈, Epsv6 및 Epdsv6 시리즈
컴퓨팅 최적화: Falsv6 시리즈, Famsv6 시리즈, Fasv6 시리즈
비고
Databricks 도우미는 규정 준수 보안 프로필을 사용하도록 설정한 작업 영역에서 기본적으로 사용하지 않도록 설정됩니다. 작업 영역 관리자는 계정에 대한 지침을 따라 Azure AI 기반 AI 기능을 사용하지 않도록 설정하거나 사용하도록 설정할 수 있습니다.
모든 새 작업 영역에 대한 계정 수준 기본값 설정
계정 관리자는 보안 프로필에 대한 설정(규정 준수 표준 포함) 또는 계정 수준에서 향상된 보안 모니터링을 구성하여 모든 새 작업 영역에 적용할 수 있습니다. 규정 준수 보안 프로필을 새 작업 영역에 대한 기본값으로 사용하도록 설정하면 새 작업 영역에 대해서도 향상된 보안 모니터링 및 자동 클러스터 업데이트가 활성화됩니다.
계정 관리자 권한으로 계정 콘솔로 이동합니다.
사이드바에서 설정을 클릭합니다.
보안 및 준수 탭을 클릭합니다.
사이드바에서 향상된 보안 및 준수 설정을 클릭합니다.
규정 준수 보안 프로필을 사용하도록 설정하려면 준수 보안 프로필 옆에 있는 구성을 클릭합니다.
새 작업 영역에 대한 준수 보안 프로필 대화 상자에서 [사용]을 선택하고, 하나 또는 준수 표준을 선택하거나, [없음]을 선택하고 [저장]을 클릭합니다.
향상된 보안 모니터링을 사용하도록 설정하려면 새 작업 영역에 대한 향상된 보안 모니터링 확인란을 선택합니다.
작업 영역에서 향상된 보안 및 규정 준수 기능 사용
Azure Portal, Azure CLI, Powershell, ARM 템플릿 또는 Terraform을 사용하여 향상된 보안 및 규정 준수 기능을 사용하여 작업 영역을 만들 수 있습니다.
Azure Portal 사용
Azure Portal에서 기존 Azure Databricks 작업 영역 또는 Azure Databricks 작업 영역 만들기 페이지에서 설정 > 보안 및 규정 준수 를 클릭합니다.
규정 준수 보안 프로필을 사용하도록 설정하려면 준수 보안 프로필 사용 옆의 확인란을 선택합니다. 드롭다운에서 하나 이상의 준수 표준을 선택하거나 없음 선택합니다. 드롭다운에는 작업 영역 지역에서 사용할 수 있는 규정 준수 표준이 나열됩니다.
규정 준수 보안 프로필을 사용하도록 설정하거나 규정 준수 표준을 추가하는 경우 해당 작업 영역에 대해 이러한 선택이 영구적으로 수행됩니다.
향상된 보안 모니터링을 사용하도록 설정하려면강화된 보안 모니터링 사용
확인란을 선택합니다. 자동 클러스터 업데이트를 사용하도록 설정하려면 자동 클러스터 업데이트 사용 확인란을 선택합니다.
유지 관리 기간 및 해당 빈도를 구성하려면 자동 클러스터 업데이트를 참조하세요.
Azure CLI 사용
Azure CLI를 사용하여 향상된 보안 및 규정 준수 기능을 사용하여 작업 영역을 만들 수 있습니다. 가능한 규정 준수 표준에는 HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_B, 또는 NONE이 포함됩니다. 둘 이상의 규정 준수 표준을 선택할 수 있습니다. 다음은 그 예입니다.
az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --___location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring
Powershell 사용
Powershell을 사용하여 향상된 보안 및 규정 준수 기능을 사용하여 작업 영역을 만들 수 있습니다. 가능한 규정 준수 표준에는 HIPAA, PCI_DSS, HITRUST, IRAP_PROTECTED, UK_CYBER_ESSENTIALS_PLUS, CANADA_PROTECTED_B, 또는 NONE이 포함됩니다. 둘 이상의 규정 준수 표준을 선택할 수 있습니다. 다음은 그 예입니다.
New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")
ARM 템플릿 사용
Databricks에서 제공하는 ARM 템플릿을 사용하여 강화된 보안 및 규정 준수 추가 기능 기능을 구성할 수 있습니다. 추가 매개 변수를 Enabled 또는 Disabled로 설정할 수 있게 포함되어 있습니다. 기존 템플릿에 추가하여 작업 영역을 업데이트하려면 이 작업을 수행할 수 있습니다. 표시된 경우를 제외하고 독립적으로 기능을 설정할 수 있습니다.
-
complianceSecurityProfile: 규정 준수 보안 프로필을 사용하도록 설정합니다. 이 기능을 사용하도록 설정하면 작업 영역에서 영구적으로 사용하도록 설정됩니다. -
complianceStandards: 규정 준수 보안 프로필에 사용할 규정 준수 표준 배열을 구성합니다.-
complianceSecurityProfile가Disabled로 설정되면 빈 배열을 전달하십시오. -
complianceSecurityProfile이Enabled로 설정된 경우, 작업 영역에 대해 필요할 수도 있는 준수 표준을 지정하는 하나 이상의 문자열 배열을 반드시 전달해야 합니다. 가능한 선택 항목은HIPAA,,PCI_DSSHITRUST,IRAP_PROTECTEDUK_CYBER_ESSENTIALS_PLUS,CANADA_PROTECTED_B또는NONE. 규정 준수 보안 프로필을 보안 혜택에 대해서만 사용하지만 규제된 데이터를 처리하지 않는 경우, 단일 배열 요소NONE을 추가합니다.
-
-
enhancedSecurityMonitoring— 강화된 보안 모니터링을 사용하도록 설정합니다. 규정 준수 보안 프로필이 활성화된 경우, 템플릿에서 이 기능을 명시적으로Enabled으로 설정해야 합니다. -
automaticClusterUpdate— 자동 클러스터 업데이트를 사용하도록 설정합니다. 규정 준수 보안 프로필이 활성화된 경우, 템플릿에서 이 기능을 명시적으로Enabled으로 설정해야 합니다. 유지 관리 기간 및 해당 빈도를 구성하려면 자동 클러스터 업데이트를 참조하세요.
이러한 기능 중 하나 이상으로 작업 영역을 업데이트하려면 템플릿을 사용하여 새 작업 영역을 만드는 것과 동일한 사용자 지정 템플릿 배포 지침을 따릅니다. 그러나 원래 템플릿을 사용하는지 확인한 다음 제공된 예제 템플릿의 필드를 기존 작업 영역 템플릿으로 복사합니다.
강화된 보안 및 규정 준수 기능을 갖춘 작업 영역 템플릿
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": ["standard", "premium"],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"___location": {
"type": "string",
"defaultValue": "[resourceGroup().___location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HITRUST"],
["IRAP_PROTECTED"],
["UK_CYBER_ESSENTIALS_PLUS"],
["CANADA_PROTECTED_B"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"___location": "[parameters('___location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
Terraform 사용
Databricks용 azurerm Terraform 플러그 인을 사용하여 Azure Databricks 작업 영역에서 향상된 보안 및 규정 준수를 사용하도록 설정할 수도 있습니다. Terraform 플러그 인에 azurerm 대한 자세한 내용은 azurerm_databricks_workspace 참조하세요.
예를 들어 준수 컨트롤을 사용하도록 설정된 Azure Databricks 작업 영역을 만들려면 다음을 사용합니다.
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
___location = azurerm_resource_group.this.___location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "HITRUST", "IRAP_PROTECTED", "UK_CYBER_ESSENTIALS_PLUS", "CANADA_PROTECTED_B", "NONE"]
enhanced_security_monitoring_enabled = true
}
}
작업 영역에 대해 규정 준수 보안 프로필이 사용하도록 설정되어 있는지 확인합니다.
작업 영역이 계정 콘솔의 작업 영역 페이지에 있는 보안 및 규정 준수 탭에서 규정 준수 보안 프로필을 사용하고 있는지 확인할 수 있습니다.
작업 영역에는 작업 영역 UI에도 방패 로고가 표시됩니다. 작업 영역 이름 오른쪽에 있는 페이지의 오른쪽 위에 방패 로고가 나타납니다. 작업 영역 이름을 클릭하여 액세스할 수 있는 작업 영역 목록을 확인합니다. 규정 준수 보안 프로필을 사용하도록 설정하는 작업 영역에는 방패 아이콘이 있습니다.
작업 공간에서 온 Shield 로고 
준수 보안 프로필을 사용하도록 설정된 작업 영역에 대한 쉴드 아이콘이 없는 경우 Azure Databricks 계정 팀에 문의하세요.