Azure-Sicherheitsbaseline für HDInsight
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf HDInsight an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für HDInsight definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features , die nicht für HDInsight gelten, wurden ausgeschlossen. Informationen dazu, wie HDInsight vollständig dem Microsoft Cloud Security-Benchmark zugeordnet ist, finden Sie in der vollständigen HDInsight-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten hoher Auswirkungen von HDInsight zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Analyse |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Nur Leseberechtigung |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Ruhende Kundeninhalte werden gespeichert. | True |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Die Umkreissicherheit in Azure HDInsight wird über virtuelle Netzwerke erreicht. Ein Unternehmensadministrator kann einen Cluster in einem virtuellen Netzwerk erstellen und den Zugriff auf das virtuelle Netzwerk mithilfe einer Netzwerksicherheitsgruppe (NSG) beschränken.
Konfigurationsleitfaden: Bereitstellen des Diensts in einem virtuellen Netzwerk. Weisen Sie der Ressource (sofern möglich) private IP-Adressen zu, es sei denn, es gibt einen guten Grund, öffentliche IP-Adressen direkt der Ressource zuzuweisen.
Hinweis: Basierend auf Ihren Anwendungen und der Unternehmensegmentierungsstrategie können Sie den Datenverkehr zwischen internen Ressourcen basierend auf Ihren NSG-Regeln einschränken oder zulassen. Bei bestimmten klar definierten Anwendungen wie einer Drei-Schichten-App kann beispielsweise eine äußerst sichere standardmäßige Verweigerung des Datenverkehrs festgelegt werden.
Referenz: Planen eines virtuellen Netzwerks für Azure HDInsight
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Die Umkreissicherheit in Azure HDInsight wird über virtuelle Netzwerke erreicht. Ein Unternehmensadministrator kann einen Cluster in einem virtuellen Netzwerk erstellen und den Zugriff auf das virtuelle Netzwerk mithilfe einer Netzwerksicherheitsgruppe (NSG) beschränken. Nur die zulässigen IP-Adressen in den NSG-Eingangsregeln können mit dem Azure HDInsight-Cluster kommunizieren. Diese Konfiguration bietet Umgebungssicherheit. Alle in einem virtuellen Netzwerk bereitgestellten Cluster verfügen zudem über einen privaten Endpunkt. Der Endpunkt wird in eine private IP-Adresse innerhalb des Virtual Network aufgelöst. Sie bietet privaten HTTP-Zugriff auf die Clustergateways.
Beschränken oder ermöglichen Sie den Datenverkehr zwischen internen Ressourcen anhand Ihrer NSG-Regeln gemäß Ihren Anwendungen und der Strategie der Unternehmenssegmentierung. Bei bestimmten klar definierten Anwendungen wie einer Drei-Schichten-App kann beispielsweise eine äußerst sichere standardmäßige Verweigerung des Datenverkehrs festgelegt werden.
Folgende Ports sind in der Regel für alle Clustertypen erforderlich:
22–23: SSH-Zugriff auf die Clusterressourcen
443: Ambari, WebHCat-REST-API, HiveServer ODBC und JDBC
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Referenz: Steuern des Netzwerkdatenverkehrs in Azure HDInsight
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Für den Dienst native IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Verwenden Sie azure Private Link, um privaten Zugriff auf HDInsight aus Ihren virtuellen Netzwerken zu ermöglichen, ohne das Internet zu überschreiten. Mit dem privaten Zugriff wird der Azure-Authentifizierung und der Datenverkehrssicherheit eine weitere, umfassende Sicherheitsmaßnahme hinzugefügt.
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Hinweis: Verwenden Sie Azure Private Link, um privaten Zugriff auf HDInsight aus Ihren virtuellen Netzwerken zu ermöglichen, ohne das Internet zu überschreiten. Mit dem privaten Zugriff wird der Azure-Authentifizierung und der Datenverkehrssicherheit eine weitere, umfassende Sicherheitsmaßnahme hinzugefügt.
Referenz: Aktivieren eines privaten Links in einem HDInsight-Cluster
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters „Öffentlichen Netzwerkzugriff deaktivieren“. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder eines Umschalters für den öffentlichen Netzwerkzugriff.
Referenz: Einschränken der öffentlichen Konnektivität in Azure HDInsight
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Übersicht über die Unternehmenssicherheit in Azure HDInsight
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Wenn ein HDI-Cluster erstellt wird, werden zwei lokale Administratorkonten in der Datenebene (Apache Ambari) erstellt. Einer, der dem Benutzer entspricht, für den Anmeldeinformationen vom Clusterersteller übergeben werden. Die andere wird von der HDI-Steuerebene erstellt. Die HDI-Steuerebene verwendet dieses Konto, um Datenebenenaufrufe zu tätigen. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe verwalteter Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf die Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Features
Lokale Administratorkonten
Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Wenn ein HDI-Cluster erstellt wird, werden zwei lokale Administratorkonten in der Datenebene (Apache Ambari) erstellt. Einer, der dem Benutzer entspricht, für den Anmeldeinformationen vom Clusterersteller übergeben werden. Die andere wird von der HDI-Steuerebene erstellt. Die HDI-Steuerebene verwendet dieses Konto, um Datenebenenaufrufe zu tätigen. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für die Datenebene
Beschreibung: Die rollenbasierte Zugriffssteuerung von (Azure Role-Based Access Control, Azure RBAC) kann zum verwalteten Zugriff von Aktionen des Diensts auf Datenebenen verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Datenebene unterstützt nur Ambari-basierte Rollen. Feinkörniger ACL erfolgt über Ranger.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: In Supportszenarien, in denen Microsoft auf Kundendaten zugreifen muss, unterstützt HDInsight Kunden-Lockbox. Ihnen wird eine Oberfläche bereitgestellt, über die Sie Zugriffsanforderungen für Kundendaten überprüfen und genehmigen oder ablehnen können.
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie Kunden-Lockbox zum Überprüfen, genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Referenz: Kunden-Lockbox für Microsoft Azure
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Verwenden Sie Tags für Ressourcen im Zusammenhang mit Ihren Azure HDInsight-Bereitstellungen, um Azure-Ressourcen zu verfolgen, die vertrauliche Informationen speichern oder verarbeiten. Klassifizieren und Identifizieren vertraulicher Daten mithilfe von Microsoft Purview. Verwenden Sie den Dienst für Daten in SQL-Datenbanken oder Azure Storage-Konten, die Ihrem HDInsight-Cluster zugeordnet sind.
Bei der zugrunde liegenden Plattform, die von Microsoft verwaltet wird, behandelt Microsoft alle Kundeninhalte als vertraulich. Microsoft ergreift umfangreiche Maßnahmen gegen den Verlust und die Gefährdung von Kundendaten. Um die Sicherheit von Kundendaten innerhalb von Azure zu gewährleisten, hat Microsoft eine Reihe von robusten Datenschutzkontrollen und -funktionen implementiert und kümmert sich um deren Verwaltung.
Konfigurationsleitfaden: Verwenden Sie Tools wie Azure Purview, Azure Information Protection und Azure SQL Data Discovery and Classification, um vertrauliche Daten, die sich in Azure, lokal, Microsoft 365 oder anderen Speicherorten befinden, zentral zu scannen, zu klassifizieren und zu kennzeichnen.
Referenz: Azure-Kundendatenschutz
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt DIE DLP-Lösung zum Überwachen vertraulicher Datenbewegungen (im Kundeninhalt). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Featurehinweise: HDInsight unterstützt die Datenverschlüsselung während der Übertragung mit TLS v1.2 oder höher. Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung. Stellen Sie sicher, dass alle Clients, die eine Verbindung mit Ihrem Azure HDInsight-Cluster oder mit Clusterdatenspeichern (Azure Storage-Konten oder Azure Data Lake Storage Gen1/Gen2) herstellen, die Aushandlung mit TLS 1.2 oder höher durchführen können. Microsoft Azure Ressourcen handeln standardmäßig TLS 1.2 aus.
Um die Zugriffssteuerung zu ergänzen, schützen Sie Daten während der Übertragung vor Out-of-Band-Angriffen wie der Erfassung von Datenverkehr. Verwenden Sie die Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungsverfahren sollten deaktiviert werden.
Konfigurationsleitfaden: Aktivieren der sicheren Übertragung in Diensten, in denen ein systemeigenes Daten in der Transitverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung virtueller Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Hinweis: HDInsight unterstützt die Datenverschlüsselung während der Übertragung mit TLS v1.2 oder höher. Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung. Stellen Sie sicher, dass alle Clients, die eine Verbindung mit Ihrem Azure HDInsight-Cluster oder mit Clusterdatenspeichern (Azure Storage-Konten oder Azure Data Lake Storage Gen1/Gen2) herstellen, die Aushandlung mit TLS 1.2 oder höher durchführen können. Microsoft Azure Ressourcen handeln standardmäßig TLS 1.2 aus.
Um die Zugriffssteuerung zu ergänzen, schützen Sie Daten während der Übertragung vor Out-of-Band-Angriffen wie der Erfassung von Datenverkehr. Verwenden Sie die Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungsverfahren sollten deaktiviert werden.
Azure ermöglicht standardmäßig die Verschlüsselung von Daten während der Übertragung zwischen Azure-Rechenzentren.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Featurehinweise: Wenn Sie Azure SQL-Datenbank zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Standardmäßig ist sie aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Konfigurationsleitfaden: Aktivieren sie die Verschlüsselung ruhender Daten mithilfe von vom Microsoft verwalteten (von Microsoft verwalteten) Schlüsseln, die nicht automatisch vom Dienst konfiguriert werden.
Hinweis: Wenn Sie Azure SQL-Datenbank zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Standardmäßig ist sie aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Featurehinweise: Wenn Sie Azure SQL-Datenbank zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Standardmäßig ist sie aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Konfigurationsleitfaden: Wenn für die Einhaltung gesetzlicher Vorschriften erforderlich, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Hinweis: Wenn Sie Azure SQL-Datenbank zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Standardmäßig ist sie aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Featurehinweise: Wenn Sie Azure SQL-Datenbank zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Standardmäßig ist sie aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Drehen und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihren Dienst basierend auf einem definierten Zeitplan oder bei einer wichtigen Einstellung oder Kompromittierung. Wenn cmK (Customer Managed Key) in der Arbeitsauslastung, dem Dienst oder der Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEY Encryption Key Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Hinweis: Wenn Sie Azure Key Vault mit Ihrer Azure HDInsight-Bereitstellung verwenden, testen Sie regelmäßig die Wiederherstellung gesicherter vom Kunden verwalteter Schlüssel.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
Ressourcenverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Verwenden Sie Azure-Richtlinienaliasen im Namespace "Microsoft.HDInsight", um benutzerdefinierte Richtlinien zu erstellen. Konfigurieren Sie die Richtlinien zum Überwachen oder Erzwingen der Netzwerkkonfiguration Ihres HDInsight-Clusters.
Wenn Sie über ein Rapid7-, Qualys- oder ein anderes Abonnement für eine Sicherheitsrisikomanagement-Plattform verfügen, haben Sie Zugang zu weiteren Optionen. Sie können Skriptaktionen verwenden, um Agents zur Sicherheitsrisikobewertung auf Ihren Azure HDInsight-Clusterknoten zu installieren, und die Knoten über das entsprechende Portal verwalten.
Mit Azure HDInsight ESP können Sie Apache Ranger verwenden, um detaillierte Richtlinien zur Zugriffssteuerung und Datenobfuskation zu erstellen und zu verwalten. Sie können dies für Ihre gespeicherten Daten tun: Dateien/Ordner/Datenbanken/Tabellen/Zeilen/Spalten.
Der Hadoop-Administrator kann die rollenbasierte Zugriffssteuerung (Azure RBAC) konfigurieren, um Apache Hive, HBase, Kafka und Spark mit diesen Plug-Ins in Apache Ranger zu schützen.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Die Auswirkungen von Azure Policy [verweigern] und [bereitstellen, falls nicht vorhanden] zum Erzwingen der sicheren Konfiguration über Azure-Ressourcen hinweg.
Referenz: Integrierte Azure-Richtliniendefinitionen für Azure HDInsight
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Features
Microsoft Defender für Cloud – Adaptive Anwendungssteuerelemente
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer mit adaptiven Anwendungssteuerelementen in Microsoft Defender für Cloud ausgeführt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure HDInsight unterstützt Defender nicht nativ; es verwendet jedoch ClamAV. Darüber hinaus können Sie bei Verwendung der ESP für HDInsight einige der integrierten Bedrohungserkennungsfunktionen von Microsoft Defender für Cloud verwenden. Sie können Microsoft Defender auch für Ihre VMs aktivieren, die HDInsight zugeordnet sind.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurenotizen: Aktivitätsprotokolle sind automatisch verfügbar. Die Protokolle enthalten alle PUT-, POST- und DELETE-Vorgänge für Ihre HDInsight-Ressourcen, jedoch keine Lesevorgänge (GET). Mithilfe von Aktivitätsprotokollen können Sie bei der Problembehandlung Fehler ermitteln oder die Änderungen überwachen, die von Benutzern in Ihrer Organisation an Ressourcen vorgenommen wurden.
Aktivieren Sie Azure-Ressourcenprotokolle für HDInsight. Sie können Microsoft Defender für Cloud und Azure Policy verwenden, um die Erfassung von Ressourcenprotokollen und Protokolldaten zu aktivieren. Diese Protokolle können von entscheidender Bedeutung sein, wenn Sie Sicherheitsvorfälle untersuchen und forensische Maßnahmen durchführen.
HDInsight erstellt auch Sicherheitsüberwachungsprotokolle für die lokalen Administratorkonten. Aktivieren Sie diese lokalen Administratorüberwachungsprotokolle.
Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die einen geheimen Schlüssel aus einem Schlüsseltresor abrufen oder Azure SQL Über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
Referenz: Verwalten von Protokollen für einen HDInsight-Cluster
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Haltung und Sicherheitsrisikomanagement.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Features
Azure Automation State Configuration
Beschreibung: Die Azure Automation State-Konfiguration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems beizubehalten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure HDInsight-Betriebssystemimages werden von Microsoft verwaltet und verwaltet. Der Kunde ist jedoch für die Implementierung der Zustandskonfiguration auf Betriebssystemebene für dieses Image verantwortlich. Mithilfe von Microsoft-VM-Vorlagen in Kombination mit Azure Automation State Configuration können Sie Sicherheitsanforderungen nachhaltig erfüllen.
Konfigurationsleitfaden: Verwenden Sie die Azure Automation State-Konfiguration, um die Sicherheitskonfiguration des Betriebssystems beizubehalten.
Referenz: Übersicht über die Azure Automation State Configuration
Azure Policy-Gastkonfigurations-Agent
Beschreibung: Der Gastkonfigurations-Agent für Azure-Richtlinien kann als Erweiterung für Computeressourcen installiert oder bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Grundlegendes zur Computerkonfigurationsfunktion von Azure Automanage
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten VM-Images oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Benutzerdefinierte Containerimages
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
PV-5: Durchführen von Sicherheitsrisikobewertungen
Features
Sicherheitsrisikobewertung mit Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für Cloud oder anderen eingebetteten Microsoft Defender-Diensten auf Sicherheitsrisikoüberprüfung überprüft werden (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure HDInsight unterstützt Microsoft Defender nicht für die systemeigene Bewertung von Sicherheitsrisiken, es verwendet ClamAV für den Schutz vor Schadsoftware. Wenn Sie jedoch das ESP für HDInsight verwenden, können Sie einige der integrierten Funktionen zur Bedrohungserkennung von Microsoft Defender für Cloud verwenden. Sie können Microsoft Defender auch für Ihre VMs aktivieren, die HDInsight zugeordnet sind.
Leiten Sie alle Protokolle aus HDInsight an Ihre SIEM-Lösung weiter, die zur Einrichtung benutzerdefinierter Bedrohungserkennungen verwendet werden kann. Stellen Sie sicher, dass Sie unterschiedliche Arten von Azure-Ressourcen auf potenzielle Bedrohungen und Anomalien überwachen. Das Ziel sollten möglichst hochwertige Warnungen sein. Damit verringern Sie die Anzahl falsch positiver Ergebnisse, die später von Analysten aussortiert werden müssen. Die Quellen von Warnungen können Protokolldaten, Agents oder andere Daten darstellen.
Konfigurationsleitfaden: Befolgen Sie Empfehlungen von Microsoft Defender für Cloud zum Durchführen von Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern.
Hinweis: Azure HDInsight unterstützt Defender nicht nativ, es verwendet ClamAV. Wenn Sie jedoch das ESP für HDInsight verwenden, können Sie einige der integrierten Funktionen zur Bedrohungserkennung von Microsoft Defender für Cloud verwenden. Sie können Microsoft Defender auch für Ihre VMs aktivieren, die HDInsight zugeordnet sind.
Leiten Sie alle Protokolle aus HDInsight an Ihre SIEM-Lösung weiter, die zur Einrichtung benutzerdefinierter Bedrohungserkennungen verwendet werden kann. Stellen Sie sicher, dass Sie unterschiedliche Arten von Azure-Ressourcen auf potenzielle Bedrohungen und Anomalien überwachen. Das Ziel sollten möglichst hochwertige Warnungen sein. Damit verringern Sie die Anzahl falsch positiver Ergebnisse, die später von Analysten aussortiert werden müssen. Die Quellen von Warnungen können Protokolldaten, Agents oder andere Daten darstellen.
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Features
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Update Management verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Shared |
Featurehinweise: Ubuntu-Bilder werden innerhalb von drei Monaten nach der Veröffentlichung für die neue Azure HDInsight-Clustererstellung verfügbar. Ausgeführte Cluster werden nicht automatisch gepatcht. Kunden müssen Skriptaktionen oder andere Mechanismen verwenden, um einen laufenden Cluster zu patchen. Es hat sich bewährt, diese Skriptaktionen auszuführen und direkt nach der Clustererstellung Sicherheitsupdates durchzuführen.
Konfigurationsleitfaden: Verwenden Sie azure Automation Update Management oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Hinweis: Ubuntu-Images werden innerhalb von drei Monaten nach der Veröffentlichung für die neue Azure HDInsight-Clustererstellung verfügbar. Laufende Cluster werden nicht automatisch gepatcht. Kunden müssen Skriptaktionen oder andere Mechanismen verwenden, um einen laufenden Cluster zu patchen. Es hat sich bewährt, diese Skriptaktionen auszuführen und direkt nach der Clustererstellung Sicherheitsupdates durchzuführen.
Referenz: Übersicht über die Updateverwaltung
Endpunktsicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security-Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Features
EDR-Lösung
Beschreibung: Endpoint Detection and Response (EDR)-Feature wie Azure Defender für Server kann auf dem Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure HDInsight unterstützt Microsoft Defender für Endpunkt nicht nativ, es verwendet ClamAV zum Schutz vor Schadsoftware.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Kann ich auf meinem Cluster deaktivieren Clamscan ?
ES-2: Verwenden moderner Antischadsoftware
Features
Antischadsoftware-Lösung
Beschreibung: Antischadsoftware-Feature wie Microsoft Defender Antivirus, Microsoft Defender für Endpunkt kann auf dem Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurenotizen: Azure HDInsight verwendet ClamAV. Leiten Sie die ClamAV-Protokolle an eine zentrale SIEM-Lösung oder ein anderes Erkennungs- und Warnsystem weiter.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Sicherheit und Zertifikate
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Features
Antischadsoftwarelösung Systemüberwachung ing
Beschreibung: Die Antischadsoftwarelösung bietet Integritätsstatusüberwachung für Plattform-, Modul- und automatische Signaturupdates. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure HDInsight enthält vorinstallierte und für die Clusterknotenimages aktivierte Clamscan. Clamscan führt automatisch Engine- und Definitionsupdates durch und aktualisiert die eigenen Antischadsoftwaresignaturen basierend auf der offiziellen Virensignaturdatenbank von ClamAV.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Sicherheit und Zertifikate
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: HBase-Export und HBase-Replikation sind gängige Methoden zum Aktivieren der Geschäftskontinuität zwischen HDInsight HBase-Clustern.
HBase Export ist ein Batchreplikationsprozess, der das HBase Export-Hilfsprogramm verwendet, um Tabellen aus dem primären HBase-Cluster in den darunter liegenden Azure Data Lake Storage Gen2-Speicher zu exportieren. Die exportierten Daten können dann aus dem sekundären HBase-Cluster abgerufen und in Tabellen importiert werden, die im sekundären Cluster bereits vorhanden sein müssen. Während HBase Export eine Granularität auf Tabellenebene bietet, steuert die Engine für die Exportautomatisierung in inkrementellen Aktualisierungssituationen den Bereich der inkrementellen Zeilen, die bei jeder Ausführung berücksichtigt werden sollen.
Konfigurationsleitfaden: Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Einrichten von Sicherung und Replikation für Apache HBase und Apache Phoenix auf HDInsight
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.