# 🧪 Laboratorio 1: Configuración Avanzada de Seguridad y Monitoreo

## 🎯 Objetivo

Configurar un entorno seguro en Azure Databricks utilizando Unity Catalog, Azure Key Vault y habilitar auditoría con Azure Monitor.


## ℹ️ Introducción

En este laboratorio aprenderás cómo implementar medidas avanzadas de seguridad y monitoreo en un entorno de Azure Databricks.
Estas medidas incluyen:
- Gobernanza de datos con Unity Catalog
- Gestión de secretos con Azure Key Vault
- Auditoría centralizada con Azure Monitor y Log Analytics

Estas prácticas forman parte de una estrategia de seguridad empresarial alineada con Zero Trust y cumplimiento de normativas como GDPR, HIPAA o ISO 27001.

## 🧠 Conceptos Clave

**Unity Catalog**
Es el sistema de control de acceso centralizado de Databricks. Permite definir permisos a nivel de metastore, catálogo, esquema, tabla y vista. Soporta auditoría detallada y está integrado con Azure Active Directory (AAD).

[📘 Ver documentación](https://learn.microsoft.com/en-us/azure/databricks/data-governance/unity-catalog)

**Azure Key Vault**
Es un servicio de Azure para la gestión de secretos, claves y certificados. En Databricks se usa mediante *secret scopes* para almacenar contraseñas, tokens u otras credenciales.

[📘 Ver documentación](https://learn.microsoft.com/en-us/azure/key-vault/general/overview)

**Azure Monitor + Log Analytics**
Plataforma de observabilidad de Azure. Permite recolectar logs de auditoría desde Databricks y analizarlos mediante KQL (Kusto Query Language).

[📘 Ver documentación](https://learn.microsoft.com/en-us/azure/azure-monitor/overview)

## 🛠️ Pasos del laboratorio

### 1. Crear un Metastore en Unity Catalog (si no existe)
- Accede al portal de Azure Databricks.
- Navega a **Data** > **Metastores** > **Create Metastore**.
- Asigna un nombre, región y cuenta de almacenamiento (con mounted container en ADLS Gen2).

In [None]:
USE CATALOG main;
CREATE SCHEMA IF NOT EXISTS seguridad_demo;
USE seguridad_demo;
CREATE TABLE ejemplo_seguridad (
    id INT,
    valor STRING
);

### 3. Configurar control de acceso en Unity Catalog

In [None]:
GRANT SELECT ON TABLE seguridad_demo.ejemplo_seguridad TO `grupo-aad`;

### 4. Integrar con Azure Key Vault

In [None]:
dbutils.secrets.createScope(
    scopeName="kv-seguridad", 
    scopeBackendType="AzureKeyVault", 
    backendAzureKeyVault={
        "resourceId": "<resource-id>", 
        "dnsName": "<dns-name>"
    }
)

In [None]:
dbutils.secrets.get(scope="kv-seguridad", key="db_password")

### 5. Habilitar logs de auditoría en Azure Monitor
- Asegúrate de tener conectados los recursos de Databricks a Log Analytics.
- Revisa los logs desde el portal o con la siguiente consulta:

In [None]:
DatabricksAuditLogs  
| where actionName_s == "createTable"

## ✅ Validación
- Confirma que los permisos funcionan correctamente.
- Verifica acceso a secretos desde Databricks.
- Asegura la visibilidad de logs en Azure Monitor.


## 📌 Notas
- Algunas configuraciones pueden tardar unos minutos.
- Asegúrate de tener permisos administrativos en Azure y Databricks.
