Monitoramento de segurança aprimorado
Este artigo descreve o recurso de monitoramento de segurança aprimorado e como configurá-lo em seu Databricks workspace ou account.
Visão geral do monitoramento de segurança aprimorado
Databricks O monitoramento de segurança aprimorado fornece uma imagem de disco reforçada e agentes de monitoramento de segurança adicionais que geram linhas log que o senhor pode analisar usando a auditoria logs.
Os aprimoramentos de segurança se aplicam somente a compute recurso no plano clássico compute, como clustering e armazém nãoserverless SQL .
sem servidor compute plane recurso, como serverless SQL warehouse, não têm monitoramento extra quando o monitoramento de segurança aprimorado está ativado.
O monitoramento de segurança aprimorado inclui:
-
Uma imagem aprimorada e reforçada do sistema operacional baseada no Ubuntu Advantage.
O Ubuntu Advantage é um pacote de segurança empresarial e suporte para infraestrutura e aplicativos de código aberto que inclui o seguinte:
- Uma imagem reforçada de nível 1 do CIS.
- Módulos de criptografia validados pelo FIPS 140.
-
Agentes de monitoramento de integridade de arquivos e antivírus que geram logs que o senhor pode analisar.
agentes de monitoramento em Databricks compute imagens planas
Quando o monitoramento de segurança aprimorado está ativado, há agentes de monitoramento de segurança adicionais, incluindo dois agentes pré-instalados na imagem do plano compute aprimorado. O senhor não pode desativar os agentes de monitoramento que estão na imagem de disco do plano compute aprimorado.
Agente de monitoramento | Localização | Descrição | Como obter resultados |
|---|---|---|---|
Monitoramento da integridade do arquivo | Imagem aprimorada do plano compute | Monitora a integridade do arquivo e as violações dos limites de segurança. Esse agente de monitoramento é executado na VM worker em seu cluster. | Habilite a auditoria da log tabela do sistema e analise o logs site em busca de novas linhas. |
Detecção de antivírus e malware | Imagem aprimorada do plano compute | Examina diariamente o sistema de arquivos em busca de vírus. Esse agente de monitoramento executa as VMs em seu recurso compute, como o clustering e o warehouse pro ou clássico SQL. O agente de detecção de antivírus e malware examina todo o sistema de arquivos do sistema operacional do host e o sistema de arquivos do contêiner do Databricks Runtime. Qualquer coisa fora das VMs de clustering está fora de seu escopo de varredura. | Habilite a auditoria da log tabela do sistema e analise o logs site em busca de novas linhas. |
Análise de vulnerabilidades | A varredura ocorre em imagens representativas nos ambientes Databricks. | Examina o host do contêiner (VM) em busca de certas vulnerabilidades conhecidas e Vulnerabilidades e Exposições Comuns (CVEs). | Envie um e-mail para Databricks workspace admins. |
Para obter as versões mais recentes dos agentes de monitoramento, o senhor pode reiniciar o clustering. Se o site workspace usar a atualização automática de clustering, reinicie o clustering em default, se necessário, durante as janelas de manutenção programadas. Se o perfil de segurançacompliance estiver ativado em um workspace, a atualização automática de clustering estará permanentemente ativada nesse workspace.
Monitoramento da integridade do arquivo
A imagem aprimorada do plano compute inclui um serviço de monitoramento de integridade de arquivos que fornece visibilidade em tempo de execução e detecção de ameaças para o recurso compute (clustering worker) no plano compute clássico em seu workspace.
A saída do monitor de integridade de arquivos é gerada nos logs de auditoria, que o senhor pode acessar com as tabelas do sistema. Consulte Monitorar a atividade do account com as tabelas do sistema. Para obter o esquema JSON de novos eventos auditáveis específicos do monitoramento de integridade de arquivos, consulte Eventos de monitoramento de integridade de arquivos.
É de sua responsabilidade revisar este site logs. Databricks pode, a seu critério exclusivo, revisar estes logs, mas não se compromete a fazê-lo. Se o agente detectar uma atividade maliciosa, é sua responsabilidade fazer a triagem desses eventos e abrir um tíquete de suporte com a Databricks se a resolução ou correção exigir uma ação da Databricks. Databricks poderá tomar medidas com base nestes logs, inclusive suspender ou encerrar o recurso, mas não se compromete a fazê-lo.
Detecção de antivírus e malware
A imagem aprimorada do plano compute inclui um mecanismo antivírus para detectar cavalos de Troia, vírus, malware e outras ameaças mal-intencionadas. O monitor antivírus examina todo o sistema de arquivos do sistema operacional do host e o sistema de arquivos do contêiner do Databricks Runtime. Qualquer coisa fora das VMs de clustering está fora de seu escopo de varredura.
A saída do monitor antivírus é gerada nos logs de auditoria, que o senhor pode acessar com as tabelas do sistema. Para obter o esquema JSON de novos eventos auditáveis específicos do monitoramento de antivírus, consulte Eventos de monitoramento de antivírus.
Quando uma nova imagem de máquina virtual é criada, arquivos de assinatura atualizados são incluídos nela.
É de sua responsabilidade revisar este site logs. Databricks pode, a seu critério exclusivo, revisar estes logs, mas não se compromete a fazê-lo. Se o agente detectar uma atividade maliciosa, é sua responsabilidade fazer a triagem desses eventos e abrir um tíquete de suporte com a Databricks se a resolução ou correção exigir uma ação da Databricks. Databricks poderá tomar medidas com base nestes logs, inclusive suspender ou encerrar o recurso, mas não se compromete a fazê-lo.
Quando uma nova imagem da AMI é criada, os arquivos de assinatura atualizados são incluídos na nova imagem da AMI.
Análise de vulnerabilidades
Um agente de monitoramento de vulnerabilidades realiza varreduras de vulnerabilidade do host do contêiner (VM) em busca de determinados CVEs conhecidos. A varredura ocorre em imagens representativas nos ambientes Databricks. Os relatórios de varredura de vulnerabilidades são enviados por e-mail a todos os administradores do workspace quando o Databricks lança novas imagens de disco AMI.
Quando vulnerabilidades são encontradas com esse agente, a Databricks as rastreia em relação ao seu SLA de gerenciamento de vulnerabilidades e libera uma imagem atualizada quando disponível.
Gerenciamento e atualização de agentes de monitoramento
Os agentes de monitoramento adicionais que estão nas imagens de disco usadas para o recurso compute no plano compute clássico fazem parte do processo Databricks padrão para atualizar sistemas:
- A imagem de disco base (AMI) clássica do plano compute é de propriedade, gerenciada e corrigida por Databricks.
- A Databricks fornece e aplica patches de segurança por meio do lançamento de novas imagens de disco AMI. O programa de entrega depende de novas funcionalidades e do site SLA para vulnerabilidades descobertas. A entrega típica é a cada duas a quatro semanas.
- O sistema operacional básico do avião compute é o Ubuntu Advantage.
- Databricks clustering e pro ou classic SQL warehouse são efêmeros em default. Após a inicialização, o clustering e o armazém pro ou classic SQL usam a imagem base mais recente disponível. As versões mais antigas que podem ter vulnerabilidades de segurança não estão disponíveis para novos clusters.
- O senhor é responsável por reiniciar o clustering (usando a UI ou API) regularmente para garantir que eles usem as imagens de VM de host com patches mais recentes.
Monitore o encerramento do agente
Se for constatado que um agente de monitoramento na VM worker não está sendo executado devido a uma falha ou outro encerramento, o sistema tentará reiniciar o agente.
Política de retenção de dados para monitorar os dados do agente
Se o senhor configurou o fornecimento de auditoria log, o monitoramento logs será enviado para a tabela do sistema de auditoria log ou para o bucket de fornecimento de auditoria log. A retenção, a ingestão e a análise desses logs são de responsabilidade do senhor.
Os relatórios de varredura de vulnerabilidades e o site logs são retidos por pelo menos um ano pelo site Databricks.
Habilitar o monitoramento de segurança aprimorado do Databricks
- Seu Databricks workspace deve estar na camada Enterprise preços.
- Seu site Databricks account deve incluir o complemento Enhanced Security and compliance. Para obter detalhes, consulte a página de preços.
Para ativar o monitoramento de segurança aprimorada diretamente em um workspace, consulte Ativar segurança aprimorada e compliance recurso em um workspaceexistente.
O senhor também pode definir um account-level default para o novo espaço de trabalho para ativar inicialmente o monitoramento de segurança aprimorado. Como alternativa, o senhor pode definir um account-level default para ativar o perfil de segurança compliance, que ativa automaticamente o monitoramento de segurança aprimorado. Consulte accountDefinir -level default para todos os novos espaços de trabalho.
As atualizações podem levar até seis horas para serem propagadas para todos os ambientes e para sistemas mais adiante, como faturamento. As cargas de trabalho que estão em execução ativa continuam com as configurações que estavam ativas no momento da inicialização do cluster ou de outro recurso de computação, e as novas configurações começarão a ser aplicadas na próxima vez que essas cargas de trabalho forem iniciadas.