コンプライアンス・セキュリティ・プロファイル

この記事では、コンプライアンス セキュリティ プロファイルとそのコンプライアンス制御について説明します。

コンプライアンス・セキュリティー・プロファイルの概要

コンプライアンス セキュリティ プロファイルを使用すると、追加のモニタリング、ノード間暗号化の強制インスタンス タイプ、強化されたコンピュート イメージ、および Databricks ワークスペースに対するその他の機能と制御が可能になります。 Databricks を使用して、次のコンプライアンス標準で規制されているデータを処理するには、コンプライアンス セキュリティ プロファイルを有効にする必要があります。

• HIPAA
• 情報セキュリティ登録評価者プログラム(IRAP)
• PCI-DSS
• FedRAMP High
• FedRAMP Moderate
• 英国サイバーエッセンシャルプラス
• CCCSミディアム(プロテクトB)

また、コンプライアンス標準に準拠しずに、強化されたセキュリティ機能に対してコンプライアンス セキュリティ プロファイルを有効にすることもできます。

important

• お客様は、適用されるすべての法律および規制に対する独自のコンプライアンスを確保する責任を単独で負うものとします。
• 規制対象データを処理する前に、コンプライアンス セキュリティ プロファイルと適切なコンプライアンス標準が構成されていることを確認する責任は、お客様自身にあります。
• HIPPAを追加する場合、PHIデータを処理する前に、DatabricksとBAA契約を結ぶのはお客様の責任です。

セキュリティを強化するコンピュート リソース

コンプライアンス セキュリティ プロファイルの機能強化は、すべてのリージョンのクラシック コンピュート プレーンのコンピュート リソースに適用されます。

サーバレス コンピュート plane リソース (サーバレス SQLウェアハウス、サーバレス コンピュート for ノートブック and ワークフロー、およびサーバレス DLT パイプライン) のコンプライアンス セキュリティ プロファイルのサポートは、コンプライアンス標準の選択と地域によって異なります。 次の表を参照してください。

コンプライアンス基準	クラシックコンピュートプレーンのサポート	サーバレス コンピュート plane support
なし	すべてのリージョン	サーバレスがあるすべての地域
HIPAA	すべてのリージョン	サーバレスがあるすべての地域
PCI-DSS	すべてのリージョン	us-east-1、ap-southeast-2、 us-west-2
FedRAMP Moderate	すべてのリージョン	us-east-1, us-west-2
IRAP	すべてのリージョン	ap-southeast-2
CCCSミディアム(プロテクトB)	すべてのリージョン	なし
英国サイバーエッセンシャルプラス	すべてのリージョン	なし

コンプライアンス security profile コンプライアンス標準 with サーバレス コンピュート availabilityを参照してください。

コンピュート平面アーキテクチャの詳細については、「 Databricks アーキテクチャの概要」を参照してください。

コンプライアンス セキュリティ プロファイルの機能と技術的な制御

セキュリティの強化には、次のものが含まれます。

• Ubuntu Advantageに基づく強化された強化されたオペレーティングシステムイメージ。

  Ubuntu Advantageは、オープンソースのインフラストラクチャとアプリケーションのエンタープライズセキュリティとサポートのパッケージであり、次のものが含まれます。

  • CIS レベル 1 の強化イメージ。
  • FIPS 140 検証済み暗号化モジュール。

• クラスターの自動更新は自動的に有効になります。

  クラスターは、構成可能なメンテナンス期間中に最新の更新を定期的に取得するために再起動されます。 「クラスターの自動更新」を参照してください。

• Enhanced securing モニタリングは自動的に有効になります。

  セキュリティ モニタリング エージェントは、確認できるログを生成します。 モニタリング エージェントの詳細については、「Databricks コンピュート平面イメージのモニタリング エージェント」を参照してください。

• AWSクラスターおよびDatabricks SQLSQL ウェアハウスでの Nitro インスタンスタイプの強制的な使用。

• エグレスの通信では、メタストアへの接続を含め、TLS 1.2 以降が使用されます。

必要条件

• Databricks アカウントには、強化されたセキュリティとコンプライアンスのアドオンが含まれている必要があります。 詳細については、 価格ページを参照してください。

• Databricks ワークスペースは Enterprise 価格レベルです。

• シングル サインオン (SSO) 認証がワークスペースに対して構成されている。

• Databricks ワークスペース ストレージ バケットの名前にピリオド文字 (.) を含めることはできません (例: my-bucket-1.0)。 既存のワークスペース ストレージ バケットの名前にピリオドが含まれている場合は、コンプライアンス セキュリティ プロファイルを有効にする前に、Databricks アカウント チームにお問い合わせください。

• インスタンスタイプは、クラスターノード間のハードウェア実装ネットワーク暗号化とローカルディスクの保管時の暗号化の両方を提供するものに限定されます。 サポートされているインスタンスタイプは次のとおりです。

  • 汎用: M-fleet、Md-fleet、M5dn、M5n、M5zn、M7g、M7gd、M6i、M7i、M6id、M6in、 M6idn
  • 最適化されたコンピュート: C-fleet, C5a, C5ad, C5n, C6gn, C7g, C7gd, C7gn, C6i, C6id, C7i, C6in
  • メモリ最適化: R-fleet、Rd-fleet、R7g、R7gd、R6i、R7i、R7iz、R6id、R6in、 R6idn
  • 最適化されたストレージ: D3、D3en、P3dn、R5dn、R5n、I4i、 I3en
  • アクセラレーテッドコンピューティング: G4dn、G5、P4d、P4de、 P5

注記

フリートインスタンスは AWS Gov Cloud では使用できません。

手順 1: コンプライアンス セキュリティ プロファイル用のワークスペースを準備する

セキュリティープロファイルを有効にして新しいワークスペースを作成する場合、または既存のワークスペースで有効にする場合は、次の手順に従います。

1. コンプライアンス セキュリティ プロファイルを有効にする前に、ワークスペースで long-稼働中のクラスターを確認してください。 コンプライアンス セキュリティ プロファイルを有効にすると、自動クラスター更新の構成頻度とウィンドウ中に、long-稼働中のクラスターが自動的に再起動されます。 「クラスターの自動更新」を参照してください。

2. シングル サインオン (SSO) 認証が構成されていることを確認します。 「Databricks で SSO を構成する」を参照してください。

3. 必要なネットワークポートを追加します。 必要なネットワーク ポートは、クラシック コンピュート プレーンのプライベート接続用の PrivateLink バックエンド接続が有効になっているかどうかによって異なります。

   • PrivateLink バックエンド接続が有効 : FIPS 暗号化接続のためにポート 2443 への双方向アクセスを許可するには、ネットワーク セキュリティ グループを更新する必要があります。 詳細については、「 ステップ 1: AWS ネットワーク オブジェクトを構成する」を参照してください。
   • PrivateLink バックエンド接続なし : FIPS 暗号化エンドポイントをサポートするには、ポート 2443 への送信アクセスを許可するようにネットワーク セキュリティ グループを更新する必要があります。 「セキュリティグループ」を参照してください。

4. ワークスペースが米国東部、米国西部、またはカナダ (中部) リージョンにあり、アウトバウンドネットワークアクセスを制限するように設定されている場合、S3 サービスの FIPS エンドポイントをサポートするために、追加のエンドポイントへのトラフィックを許可する必要があります。 これは S3 サービスに適用されますが、STS および Kinesis エンドポイントには適用されません。 AWS は、STS と Kinesis の FIPS エンドポイントをまだ提供していません。

   • S3 の場合は、エンドポイント の s3.<region>.amazonaws.com と s3-fips.<region>.amazonaws.comへの送信トラフィックを許可します。 たとえば、 s3.us-east-1.amazonaws.com や s3-fips.us-east-1.amazonaws.comなどです。

5. 次のテストを実行して、変更が正しく適用されたことを確認します。

   1. 1 つのドライバーと 1 つのワーカー、任意の DBR バージョン、任意のインスタンスタイプで Databricks クラスターを起動します。

   2. クラスターにアタッチされたノートブックを作成します。 このクラスターは、次のテストに使用します。

   3. ノートブックで、次のコマンドを実行して DBFS 接続を検証します。

      Bash

      %fs ls /
      %sh ls /dbfs

      ファイルの一覧がエラーなしで表示されることを確認します。

   4. リージョンのコントロールプレーンインスタンスへのアクセスを確認します。 Databricks サービスと資産の IP アドレスとドメインの表からアドレスを取得し、VPC リージョンの Webapp エンドポイントを探します。

      Bash

      %sh nc -zv <webapp-domain-name> 443

      たとえば、VPC リージョンの場合us-west-2

      Bash

      %sh nc -zv oregon.cloud.databricks.com 443

      結果を確認すると成功したと表示されます。

   5. お住まいの地域の SCC リレーへのアクセスを確認します。 「受信 IP から Databricks コントロール プレーンへの 」の表からリージョンの SCC リレー ドメイン名を取得し、FIPS 暗号化にポート 2443 を使用します。バックエンド PrivateLink を有効にした場合は、PrivateLink ドメイン名とポート 6666 に SCC リレー を使用します。

      バックエンドのPrivateLinkが有効になっていません：

      Bash

      %sh nc -zv <scc-relay-domain-name> 2443

      バックエンド PrivateLink が有効:

      Bash

      %sh nc -zv <scc-relay-for-privatelink-domain-name> 6666

      たとえば、VPC リージョンの場合us-west-1

      Bash

      %sh nc -zv tunnel.cloud.databricks.com 2443

      たとえば、PrivateLink が有効になっている VPC リージョン us-west-1 の場合、次のようになります。

      Bash

      %sh nc -zv tunnel.privatelink.cloud.databricks.com 6666

      結果に成功したと表示されていることを確認します。

   6. ワークスペースが米国東部リージョン、米国西部リージョン、またはカナダ (中部) リージョンにある場合は、リージョンの S3 エンドポイントへのアクセスを確認します。

      Bash

      %sh nc -zv <bucket-name>.s3-fips.<region>.amazonaws.com 443

      たとえば、VPC リージョンの場合us-west-1

      Bash

      %sh nc -zv acme-company-bucket.s3-fips.us-west-1.amazonaws.com 443

      3 つのコマンドすべての結果が成功を示していることを確認します。

   7. 同じノートブックで、クラスター Spark 構成が目的のエンドポイントを指していることを検証します。 例えば：

      Bash

      >>> spark.conf.get("fs.s3a.stsAssumeRole.stsEndpoint")
      "sts.us-west-1.amazonaws.com"
      
      >>> spark.conf.get("fs.s3a.endpoint")
      "s3-fips.us-west-2.amazonaws.com"

6. 影響を受けるすべてのワークスペースの既存のコンピュートが、上記の 「要件 」に記載されているコンプライアンスセキュリティプロファイルでサポートされているインスタンスタイプのみを使用していることを確認します。

   インスタンスタイプが上記のリスト以外のワークロードを使用すると、コンピュートは invalid_parameter_exceptionで起動に失敗します。

手順 2: ワークスペースでコンプライアンス セキュリティ プロファイルを有効にする

注記

Databricks Assistant は、コンプライアンス セキュリティ プロファイルを有効にしたワークスペースのデフォルトによって無効になります。ワークスペース管理者は、 アカウントの場合: Databricks Assistant 機能を無効または有効にするの手順に従って有効にできます。

1. コンプライアンス セキュリティ プロファイルを有効にします。

   ワークスペースでコンプライアンス セキュリティ プロファイルを有効にし、必要に応じてコンプライアンス標準を追加するには、「 既存のワークスペースで強化されたセキュリティとコンプライアンス機能を有効にする」を参照してください。

   コンプライアンス セキュリティ プロファイルを使用して新しいワークスペースを作成し、必要に応じてコンプライアンス標準を追加するには、「 強化されたセキュリティとコンプライアンス機能を備えた新しいワークスペースを作成する」を参照してください。

   また、アカウント レベルの設定を構成して、すべての新しいワークスペースでセキュリティ プロファイル (コンプライアンス標準を使用) を有効にすることもできます。 「すべての新しいワークスペースにアカウントレベルのデフォルトを設定する」を参照してください。

   更新がすべての環境に反映されるまでに、最大で 6 時間かかる場合があります。 アクティブに実行されているワークロードは、コンピュート リソースの開始時にアクティブだった設定で続行され、新しい設定は次回これらのワークロードが開始されるときに適用されます。

2. 実行中のコンピュートをすべて再起動します。

手順 3: コンプライアンス セキュリティ プロファイルがワークスペースに対して有効になっていることを確認する

ワークスペースがコンプライアンス セキュリティ プロファイルを使用していることは、アカウント コンソールのワークスペース ページの [セキュリティとコンプライアンス ] タブで確認できます。

ワークスペースには、ワークスペース UI にシールド ロゴも表示されます。 シールドのロゴは、ページの右上、ワークスペース名の右側に表示されます。 ワークスペース名をクリックすると、アクセス権のあるワークスペースのリストが表示されます。 コンプライアンス セキュリティ プロファイルを有効にするワークスペースには、シールド アイコンがあります。

コンプライアンス セキュリティ プロファイルが有効になっているワークスペースでシールド アイコンが見つからない場合は、Databricks アカウント チームにお問い合わせください。