Standardní hodnoty zabezpečení Azure pro HDInsight
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 pro HDInsight. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny, které platí pro HDInsight.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice služby Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacích testů zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na HDInsight, byly vyloučeny. Pokud chcete zjistit, jak se HDInsight kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení SLUŽBY HDInsight.
Profil zabezpečení
Profil zabezpečení shrnuje chování HDInsight s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Analýzy |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Jen pro čtení |
| Službu je možné nasadit do virtuální sítě zákazníka. | True |
| Ukládá neaktivní uložený obsah zákazníka. | True |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Zabezpečení hraniční sítě ve službě Azure HDInsight se dosahuje prostřednictvím virtuálních sítí. Podnikový správce může vytvořit cluster uvnitř virtuální sítě a pomocí skupiny zabezpečení sítě (NSG) omezit přístup k virtuální síti.
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte k prostředku privátní IP adresy (pokud je to možné).
Poznámka: Na základě vaší aplikace a strategie segmentace podniku omezte nebo povolte provoz mezi interními prostředky na základě pravidel NSG. U konkrétních dobře definovaných aplikací, jako je třívrstvá aplikace, může to být ve výchozím nastavení vysoce zabezpečené odepření.
Referenční informace: Plánování virtuální sítě pro Azure HDInsight
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě v jejích podsítích. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Zabezpečení hraniční sítě ve službě Azure HDInsight se dosahuje prostřednictvím virtuálních sítí. Podnikový správce může vytvořit cluster uvnitř virtuální sítě a pomocí skupiny zabezpečení sítě (NSG) omezit přístup k virtuální síti. S clusterem Azure HDInsight můžou komunikovat pouze povolené IP adresy v příchozích pravidlech NSG. Tato konfigurace poskytuje zabezpečení hraniční sítě. Všechny clustery nasazené ve virtuální síti budou mít také privátní koncový bod. Koncový bod se přeloží na privátní IP adresu uvnitř virtuální sítě. Poskytuje privátní přístup HTTP k branám clusteru.
Na základě vaší aplikace a strategie segmentace podniku omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních dobře definovaných aplikací, jako je třívrstvá aplikace, může to být ve výchozím nastavení vysoce zabezpečené odepření.
Porty vyžadované obecně napříč všemi typy clusterů:
22–23 – Přístup SSH k prostředkům clusteru
443 – Ambari, WebHCat REST API, HiveServer ODBC a JDBC
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a služby Azure Load Balancers.
Referenční informace: Řízení síťového provozu ve službě Azure HDInsight
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce filtrování nativních IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo službou Azure Firewall). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Pomocí služby Azure Private Link můžete povolit privátní přístup ke službě HDInsight z vašich virtuálních sítí bez překročení internetu. Privátní přístup přidává hloubkovou míru ochrany k zabezpečení provozu a ověřování Azure.
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Poznámka: Pomocí služby Azure Private Link můžete povolit privátní přístup ke službě HDInsight z vašich virtuálních sítí bez překročení internetu. Privátní přístup přidává hloubkovou míru ochrany k zabezpečení provozu a ověřování Azure.
Referenční informace: Povolení služby Private Link v clusteru HDInsight
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby, nebo přepínače pro přístup k veřejné síti.
Referenční informace: Omezení veřejného připojení ve službě Azure HDInsight
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Přehled podnikového zabezpečení ve službě Azure HDInsight
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Poznámky k funkcím: Při vytvoření clusteru HDI se v rovině dat (Apache Ambari) vytvoří dva účty místního správce. Jeden odpovídající uživateli, pro kterého autor clusteru předává přihlašovací údaje. Druhá je vytvořená řídicí rovinou HDI. Řídicí rovina HDI používá tento účet k volání roviny dat. Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Funkce
Integrace přihlašovacích údajů a tajných kódů služby a úložiště ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Funkce
Účty místního správce
Popis: Služba má koncept účtu místního správce. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Poznámky k funkcím: Při vytvoření clusteru HDI se v rovině dat (Apache Ambari) vytvoří dva účty místního správce. Jeden odpovídající uživateli, pro kterého autor clusteru předává přihlašovací údaje. Druhá je vytvořená řídicí rovinou HDI. Řídicí rovina HDI používá tento účet k volání roviny dat. Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Řízení přístupu na základě role v Azure (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Rovina dat podporuje pouze role založené na Ambari. Jemně odstupňovaný seznam ACL se provádí přes Ranger.
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k zákaznickým datům, hdInsight podporuje Customer Lockbox. Poskytuje rozhraní pro kontrolu žádostí o přístup k datům zákazníků a jejich schválení nebo odmítnutí.
Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.
Referenční informace: Customer Lockbox pro Microsoft Azure
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Pomocí značek u prostředků souvisejících s nasazeními Azure HDInsight můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace. Klasifikovat a identifikovat citlivá data pomocí Microsoft Purview Použijte službu pro všechna data uložená v databázích SQL nebo účtech Azure Storage přidružených k vašemu clusteru HDInsight.
Pro základní platformu, kterou Spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý. Microsoft přechází na velké délky, které chrání před ztrátou a expozicí zákaznických dat. Aby data zákazníků v Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.
Pokyny ke konfiguraci: Pomocí nástrojů, jako jsou Azure Purview, Azure Information Protection a Azure SQL Data Discovery a Klasifikace dat SQL, můžete centrálně skenovat, klasifikovat a označovat všechna citlivá data, která se nacházejí v Azure, v místním prostředí, Microsoftu 365 nebo v jiných umístěních.
Referenční informace: Ochrana zákaznických dat Azure
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Funkce
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-3: Šifrování citlivých dat během přenosu
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Shared |
Poznámky k funkcím: HDInsight podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo vyšší. Zašifrujte všechny citlivé informace během přenosu. Ujistěte se, že všechny klienty připojující se ke clusteru Azure HDInsight nebo úložištím dat clusteru (účty Azure Storage nebo Azure Data Lake Storage Gen1/Gen2) můžou vyjednat protokol TLS 1.2 nebo vyšší. Prostředky Microsoft Azure ve výchozím nastavení vyjednávají protokol TLS 1.2.
Chcete-li doplnit řízení přístupu, chraňte přenášená data před útoky mimo pásmo, jako je zachytávání provozu. Pomocí šifrování se ujistěte, že útočníci nemohou data snadno číst ani upravovat.
Pro vzdálenou správu použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. Zastaralé protokoly SSL, TLS, SSH verze a protokoly a slabé šifry by měly být zakázané.
Pokyny ke konfiguraci: Povolení zabezpečeného přenosu ve službách, kde je integrovaná nativní funkce šifrování přenosu dat. Vynucujte HTTPS u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0, tls v1.0 by měly být zakázané. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.
Poznámka: HDInsight podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo vyšší. Zašifrujte všechny citlivé informace během přenosu. Ujistěte se, že všechny klienty připojující se ke clusteru Azure HDInsight nebo úložištím dat clusteru (účty Azure Storage nebo Azure Data Lake Storage Gen1/Gen2) můžou vyjednat protokol TLS 1.2 nebo vyšší. Prostředky Microsoft Azure ve výchozím nastavení vyjednávají protokol TLS 1.2.
Chcete-li doplnit řízení přístupu, chraňte přenášená data před útoky mimo pásmo, jako je zachytávání provozu. Pomocí šifrování se ujistěte, že útočníci nemohou data snadno číst ani upravovat.
Pro vzdálenou správu použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. Zastaralé protokoly SSL, TLS, SSH verze a protokoly a slabé šifry by měly být zakázané.
Azure ve výchozím nastavení poskytuje šifrování přenášených dat mezi datovými centry Azure.
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Shared |
Poznámky k funkcím: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. Pro účty Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje, aby Microsoft mohl spravovat vaše šifrovací klíče, ale můžete spravovat vlastní klíče.
HDInsight podporuje více typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. V HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je zapnuté. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako SSE tento typ šifrování provádí služba úložiště. Je to ale jenom pro dočasné disky a ve výchozím nastavení není povolená. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování lze použít na datech a dočasných discích. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Pokyny ke konfiguraci: Povolení šifrování neaktivních uložených dat pomocí klíčů spravovaných platformou (spravovaných Microsoftem), kde služba nekonfiguruje automaticky.
Poznámka: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. Pro účty Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje, aby Microsoft mohl spravovat vaše šifrovací klíče, ale můžete spravovat vlastní klíče.
HDInsight podporuje více typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. V HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je zapnuté. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako SSE tento typ šifrování provádí služba úložiště. Je to ale jenom pro dočasné disky a ve výchozím nastavení není povolená. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování lze použít na datech a dočasných discích. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Referenční informace: Dvojité šifrování azure HDInsight pro neaktivní uložená data
DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Shared |
Poznámky k funkcím: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. Pro účty Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje, aby Microsoft mohl spravovat vaše šifrovací klíče, ale můžete spravovat vlastní klíče.
HDInsight podporuje více typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. V HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je zapnuté. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako SSE tento typ šifrování provádí služba úložiště. Je to ale jenom pro dočasné disky a ve výchozím nastavení není povolená. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování lze použít na datech a dočasných discích. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Poznámka: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. Pro účty Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje, aby Microsoft mohl spravovat vaše šifrovací klíče, ale můžete spravovat vlastní klíče.
HDInsight podporuje více typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. V HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je zapnuté. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako SSE tento typ šifrování provádí služba úložiště. Je to ale jenom pro dočasné disky a ve výchozím nastavení není povolená. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování lze použít na datech a dočasných discích. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Referenční informace: Dvojité šifrování azure HDInsight pro neaktivní uložená data
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Shared |
Poznámky k funkcím: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. Pro účty Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje, aby Microsoft mohl spravovat vaše šifrovací klíče, ale můžete spravovat vlastní klíče.
HDInsight podporuje více typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. V HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je zapnuté. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako SSE tento typ šifrování provádí služba úložiště. Je to ale jenom pro dočasné disky a ve výchozím nastavení není povolená. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování lze použít na datech a dočasných discích. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazují se na id klíčů ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Poznámka: Pokud používáte Azure Key Vault s nasazením služby Azure HDInsight, pravidelně testujte obnovení zálohovaných klíčů spravovaných zákazníkem.
Referenční informace: Dvojité šifrování azure HDInsight pro neaktivní uložená data
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Dvojité šifrování azure HDInsight pro neaktivní uložená data
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa prostředků.
AM-2: Používejte pouze schválené služby.
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: K vytváření vlastních zásad použijte aliasy Azure Policy v oboru názvů Microsoft.HDInsight. Nakonfigurujte zásady pro auditování nebo vynucování síťové konfigurace clusteru HDInsight.
Pokud máte předplatné platformy Rapid7, Qualys nebo jiné předplatné platformy správa ohrožení zabezpečení, máte možnosti. Akce skriptu můžete použít k instalaci agentů posouzení ohrožení zabezpečení na uzly clusteru Azure HDInsight a jejich správu prostřednictvím příslušného portálu.
Pomocí Azure HDInsight ESP můžete pomocí Apache Rangeru vytvářet a spravovat jemně odstupňované zásady řízení přístupu a obfuskace dat. Můžete to udělat pro svá data uložená v: Files/Folders/Databases/Tables/Rows/Columns.
Správce Hadoopu může nakonfigurovat Azure RBAC pro zabezpečení Apache Hivu, HBase, Kafka a Sparku pomocí těchto modulů plug-in v Apache Rangeru.
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Předdefinované definice azure Policy pro Azure HDInsight
AM-5: Použití pouze schválených aplikací na virtuálním počítači
Funkce
Microsoft Defender pro cloud – Adaptivní řízení aplikací
Popis: Služba může omezit, které zákaznické aplikace běží na virtuálním počítači pomocí adaptivního řízení aplikací v programu Microsoft Defender for Cloud. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Azure HDInsight nativně nepodporuje defender, ale používá ClamAV. Kromě toho můžete při použití ESP pro HDInsight použít některou z integrovaných funkcí detekce hrozeb v programu Microsoft Defender for Cloud. Pro virtuální počítače přidružené ke službě HDInsight můžete také povolit Microsoft Defender.
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne GET, pro vaše prostředky HDInsight s výjimkou operací čtení (GET). Protokoly aktivit můžete použít k vyhledání chyb při řešení potíží nebo ke sledování způsobu, jakým uživatelé ve vaší organizaci upravili prostředky.
Povolte protokoly prostředků Azure pro HDInsight. K povolení protokolů prostředků a shromažďování dat protokolů můžete použít Microsoft Defender for Cloud a Azure Policy. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.
HDInsight také vytváří protokoly auditu zabezpečení pro místní účty pro správu účtů. Povolte tyto protokoly auditu místního správce.
Pokyny ke konfiguraci: Povolení protokolů prostředků pro službu Key Vault například podporuje další protokoly prostředků pro akce, které z trezoru klíčů získávají tajný kód, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Správa protokolů pro cluster HDInsight
Správa stavu a ohrožení zabezpečení
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Stav a správa ohrožení zabezpečení.
PV-3: Definování a vytvoření zabezpečených konfigurací pro výpočetní prostředky
Funkce
Azure Automation State Configuration
Popis: Azure Automation State Configuration se dá použít k údržbě konfigurace zabezpečení operačního systému. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Image operačního systému Azure HDInsight spravuje a spravuje Microsoft. Zákazník ale zodpovídá za implementaci konfigurace stavu na úrovni operačního systému pro danou image. Šablony virtuálních počítačů Microsoftu v kombinaci se službou Azure Automation State Configuration můžou pomoct splnit a udržovat požadavky na zabezpečení.
Pokyny ke konfiguraci: Použití služby Azure Automation State Configuration k údržbě konfigurace zabezpečení operačního systému
Referenční informace: Přehled služby Azure Automation State Configuration
Agent konfigurace hosta služby Azure Policy
Popis: Agenta konfigurace hosta Azure Policy je možné nainstalovat nebo nasadit jako rozšíření výpočetních prostředků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Vysvětlení funkce konfigurace počítače služby Azure Automanage
Vlastní image virtuálních počítačů
Popis: Služba podporuje použití uživatelsky zadaných imagí virtuálních počítačů nebo předem sestavených imagí z marketplace s předem použitými konkrétními standardními konfiguracemi. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Image vlastních kontejnerů
Popis: Služba podporuje použití uživatelsky zadaných imagí kontejnerů nebo předem sestavených imagí z marketplace s předem použitými konkrétními standardními konfiguracemi. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PV-5: Provádění posouzení ohrožení zabezpečení
Funkce
Posouzení ohrožení zabezpečení pomocí programu Microsoft Defender
Popis: Službu je možné zkontrolovat kontrolu ohrožení zabezpečení pomocí programu Microsoft Defender for Cloud nebo jiných služeb microsoft Defenderu vložených do posouzení ohrožení zabezpečení (včetně Microsoft Defenderu pro server, registru kontejnerů, služby App Service, SQL a DNS). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Azure HDInsight nativně nepodporuje Posouzení ohrožení zabezpečení v programu Microsoft Defender, pro ochranu proti malwaru používá ClamAV. Pokud ale používáte ESP pro HDInsight, můžete použít některou z integrovaných funkcí detekce hrozeb v programu Microsoft Defender for Cloud. Pro virtuální počítače přidružené ke službě HDInsight můžete také povolit Microsoft Defender.
Přesměrujte všechny protokoly ze služby HDInsight do systému SIEM, který se dá použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, aby se snížil počet falešně pozitivních výsledků pro analytiky, kteří ho jdou řadit. Výstrahy můžou být zdrojové z dat protokolu, agentů nebo jiných dat.
Pokyny ke konfiguraci: Postupujte podle doporučení z Microsoft Defenderu pro cloud pro provádění posouzení ohrožení zabezpečení na virtuálních počítačích Azure, imagích kontejnerů a sql serverech.
Poznámka: Azure HDInsight nativně nepodporuje defender, používá ClamAV. Pokud ale používáte ESP pro HDInsight, můžete použít některou z integrovaných funkcí detekce hrozeb v programu Microsoft Defender for Cloud. Pro virtuální počítače přidružené ke službě HDInsight můžete také povolit Microsoft Defender.
Přesměrujte všechny protokoly ze služby HDInsight do systému SIEM, který se dá použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, aby se snížil počet falešně pozitivních výsledků pro analytiky, kteří ho jdou řadit. Výstrahy můžou být zdrojové z dat protokolu, agentů nebo jiných dat.
PV-6: Rychlá a automatická náprava ohrožení zabezpečení
Funkce
Azure Automation – Update Management
Popis: Služba může k automatickému nasazování oprav a aktualizací používat Řešení Update Management služby Azure Automation. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Shared |
Poznámky k funkcím: Image Ubuntu budou dostupné pro nové vytváření clusteru Azure HDInsight během tří měsíců od publikování. Spuštěné clustery nejsou automaticky zprovozněny. Zákazníci musí k opravě spuštěného clusteru použít akce skriptu nebo jiné mechanismy. Osvědčeným postupem je spustit tyto akce skriptů a hned po vytvoření clusteru použít aktualizace zabezpečení.
Pokyny ke konfiguraci: Použití řešení Azure Automation Update Management nebo řešení třetí strany k zajištění instalace nejnovějších aktualizací zabezpečení na virtuálních počítačích s Windows a Linuxem U virtuálních počítačů s Windows se ujistěte, že služba Windows Update byla povolená a nastavená tak, aby se automaticky aktualizovala.
Poznámka: Image Ubuntu budou dostupné pro nové vytváření clusteru Azure HDInsight do tří měsíců od publikování. Spuštěné clustery nejsou automaticky zprovozněny. Zákazníci musí k opravě spuštěného clusteru použít akce skriptu nebo jiné mechanismy. Osvědčeným postupem je spustit tyto akce skriptů a hned po vytvoření clusteru použít aktualizace zabezpečení.
Referenční informace: Přehled řešení Update Management
Zabezpečení koncových bodů
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zabezpečení koncového bodu.
ES-1: Použití detekce a odezvy koncových bodů (EDR)
Funkce
Řešení EDR
Popis: Funkci Detekce koncových bodů a reakce (EDR), jako je Azure Defender pro servery, je možné nasadit do koncového bodu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Poznámky k funkcím: Azure HDInsight nativně nepodporuje Microsoft Defender for Endpoint, pro ochranu proti malwaru používá ClamAV.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Můžu v clusteru zakázat Clamscan ?
ES-2: Použití moderního antimalwarového softwaru
Funkce
Antimalwarové řešení
Popis: Funkce antimalwaru, jako je Antivirová ochrana v programu Microsoft Defender, je možné do koncového bodu nasadit Microsoft Defender for Endpoint. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Poznámky k funkcím: Azure HDInsight používá ClamAV. Přesměrujte protokoly ClamAV do centralizovaného systému SIEM nebo jiného systému detekce a upozorňování.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Zabezpečení a certifikáty
ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.
Funkce
Antimalwarové řešení Monitorování stavu
Popis: Antimalwarové řešení poskytuje monitorování stavu pro platformu, modul a automatické aktualizace podpisů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Poznámky k funkcím: Azure HDInsight se dodává s předinstalovaným a povoleným nástrojem Clamscan pro image uzlů clusteru. Clamscan automaticky provede aktualizace modulu a definice a aktualizuje jeho antimalwarové podpisy na základě oficiální databáze podpisů virů ClamAV.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Zabezpečení a certifikáty
Zálohování a obnovování
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Export HBase a replikace HBase jsou běžnými způsoby povolení kontinuity podnikových procesů mezi clustery HDInsight HBase.
Export HBase je proces dávkové replikace, který používá nástroj HBase Export k exportu tabulek z primárního clusteru HBase do základního úložiště Azure Data Lake Storage Gen2. Exportovaná data je pak možné získat přístup ze sekundárního clusteru HBase a importovat je do tabulek, které musí existovat v sekundárním prostředí. I když export HBase nabízí členitost na úrovni tabulky, v situacích přírůstkové aktualizace řídí modul automatizace exportu rozsah přírůstkových řádků, které se mají zahrnout do každého spuštění.
Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Nastavení zálohování a replikace pro Apache HBase a Apache Phoenix ve službě HDInsight
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu .
- Přečtěte si další informace o standardních hodnotách zabezpečení Azure.