Línea base de seguridad de Azure para HDInsight
Esta línea de base de seguridad aplica instrucciones de microsoft cloud security benchmark versión 1.0 a HDInsight. El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a HDInsight.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Azure Policy definiciones se enumerarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a HDInsight. Para ver cómo HDInsight se asigna completamente al banco de pruebas de seguridad en la nube de Microsoft, consulte el archivo completo de asignación de línea de base de seguridad de HDInsight.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de HDInsight, lo que puede dar lugar a mayores consideraciones de seguridad.
| Atributo de comportamiento del servicio | Valor |
|---|---|
| Categoría de productos | Análisis |
| El cliente puede acceder a HOST / OS | Solo lectura |
| El servicio se puede implementar en la red virtual del cliente | True |
| Almacena el contenido del cliente en reposo | True |
Seguridad de las redes
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: El servicio admite la implementación en la red virtual privada (VNet) del cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: la seguridad perimetral en Azure HDInsight se logra a través de redes virtuales. Un administrador de empresa puede crear un clúster dentro de una red virtual y usar un grupo de seguridad de red (NSG) para restringir el acceso a la red virtual.
Guía de configuración: implemente el servicio en una red virtual. Asigne direcciones IP privadas al recurso (si procede) a menos que haya una razón fuerte para asignar direcciones IP públicas directamente al recurso.
Nota: En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre recursos internos en función de las reglas del grupo de seguridad de red. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, esto puede ser una regla muy segura de "denegación de manera predeterminada".
Referencia: Planeamiento de una red virtual para Azure HDInsight
Compatibilidad con grupos de seguridad de red
Descripción: El tráfico de red de servicio respeta la asignación de reglas grupos de seguridad de red en sus subredes. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: la seguridad perimetral en Azure HDInsight se logra a través de redes virtuales. Un administrador de empresa puede crear un clúster dentro de una red virtual y usar un grupo de seguridad de red (NSG) para restringir el acceso a la red virtual. Solo las direcciones IP permitidas en las reglas del grupo de seguridad de red de entrada pueden comunicarse con el clúster de Azure HDInsight. Esta configuración proporciona la seguridad del perímetro. Todos los clústeres implementados en una red virtual también tendrán un punto de conexión privado. El punto de conexión se resolverá en una dirección IP privada dentro de la red virtual. Proporciona acceso HTTP privado a las puertas de enlace del clúster.
En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, esto puede ser una regla muy segura de "denegación de manera predeterminada".
Puertos necesarios generalmente en todos los tipos de clústeres:
22-23: acceso SSH a los recursos del clúster
443: Ambari, API REST de WebHCat, ODBC y JDBC del servidor de Hive
Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los NSG deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y las instancias de Azure Load Balancer.
Referencia: Control del tráfico de red en Azure HDInsight
NS-2: Servicios en la nube seguros con controles de red
Características
Azure Private Link
Descripción: funcionalidad de filtrado de IP nativa del servicio para filtrar el tráfico de red (no confundirse con NSG o Azure Firewall). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: use Azure Private Link para habilitar el acceso privado a HDInsight desde las redes virtuales sin cruzar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.
Guía de configuración: implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos.
Nota: Use Azure Private Link para habilitar el acceso privado a HDInsight desde las redes virtuales sin cruzar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.
Referencia: Habilitación de Private Link en un clúster de HDInsight
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a red pública". Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP de nivel de servicio o un conmutador de alternancia para el acceso a la red pública.
Referencia: Restricción de la conectividad pública en Azure HDInsight
Administración de identidades
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: El servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: use Azure Active Directory (Azure AD) como método de autenticación predeterminado para controlar el acceso al plano de datos.
Referencia: Introducción a la seguridad empresarial en Azure HDInsight
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: cuando se crea un clúster de HDI, se crean dos cuentas de administrador local en el plano de datos (Apache Ambari). Uno correspondiente al usuario para el que el creador del clúster pasa las credenciales. El otro lo crea el plano de control HDI. El plano de control HDI usa esta cuenta para realizar llamadas al plano de datos. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
IM-3: Administración de identidades de aplicaciones de forma segura y automática
Características
Identidades administradas
Descripción: Las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Entidad de servicio
Descripción: El plano de datos admite la autenticación mediante entidades de servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-7: Restricción del acceso a los recursos en función de las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restricción de la exposición de credenciales y secretos
Características
Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Características
Cuentas de administrador local
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: cuando se crea un clúster de HDI, se crean dos cuentas de administrador local en el plano de datos (Apache Ambari). Uno correspondiente al usuario para el que el creador del clúster pasa las credenciales. El otro lo crea el plano de control HDI. El plano de control HDI usa esta cuenta para realizar llamadas al plano de datos. Evite el uso de métodos o cuentas de autenticación local, que deben deshabilitarse siempre que sea posible. en su lugar, use Azure AD para autenticarse siempre que sea posible.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: el control de acceso basado en rol de Azure (RBAC de Azure) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: el plano de datos solo admite roles basados en Ambari. La ACL específica se realiza a través de Ranger.
Guía de configuración: esta característica no se admite para proteger este servicio.
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Características
Caja de seguridad del cliente
Descripción: Caja de seguridad del cliente se puede usar para el acceso de soporte técnico de Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, HDInsight admite caja de seguridad del cliente. Proporciona una interfaz para que revise las solicitudes de acceso a los datos de los clientes y las apruebe o rechace.
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación, aprobar o rechazar las solicitudes de acceso a datos de Microsoft.
Referencia: Caja de seguridad del cliente para Microsoft Azure
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se pueden usar para la detección y clasificación de datos en el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: use etiquetas en recursos relacionados con las implementaciones de Azure HDInsight para ayudar a realizar un seguimiento de los recursos de Azure que almacenan o procesan información confidencial. Clasifique e identifique datos confidenciales mediante Microsoft Purview. Use el servicio para los datos almacenados en bases de datos SQL o cuentas de Azure Storage asociadas al clúster de HDInsight.
En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial. Microsoft hace todo lo posible para evitar la pérdida de datos de los clientes y su exposición. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.
Guía de configuración: use herramientas como Azure Purview, Azure Information Protection y Detección y clasificación de datos de Azure SQL para examinar, clasificar y etiquetar de forma centralizada cualquier dato confidencial que resida en Azure, local, Microsoft 365 u otras ubicaciones.
Referencia: Protección de datos de clientes de Azure
DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales
Características
Prevención de pérdida o pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos confidenciales (en el contenido del cliente). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: HDInsight admite el cifrado de datos en tránsito con TLS v1.2 o superior. Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan al clúster de Azure HDInsight o a los almacenes de datos del clúster (cuentas de Azure Storage o Azure Data Lake Storage Gen1/Gen2) puedan negociar TLS 1.2 o superior. De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2.
Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda", como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.
Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.
Guía de configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse. Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.
Nota: HDInsight admite el cifrado de datos en tránsito con TLS v1.2 o superior. Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan al clúster de Azure HDInsight o a los almacenes de datos del clúster (cuentas de Azure Storage o Azure Data Lake Storage Gen1/Gen2) puedan negociar TLS 1.2 o superior. De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2.
Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda", como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.
Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.
De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.
DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: si usa Azure SQL Database para almacenar metadatos de Apache Hive y Apache Oozie, asegúrese de que los datos SQL siempre permanecen cifrados. En el caso de las cuentas de Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.
HDInsight admite varios tipos de cifrado en dos niveles diferentes:
Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esta casilla está habilitada de forma predeterminada. SSE es un servicio de cifrado de nivel 1.
Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. No obstante, solo se aplica a los discos temporales y no está habilitado de manera predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.
Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de manera predeterminada y requiere que el cliente proporcione su propia clave mediante Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.
Guía de configuración: habilite el cifrado de datos en reposo mediante claves administradas por la plataforma (administradas por Microsoft) donde el servicio no lo configure automáticamente.
Nota: Si usa Azure SQL Database para almacenar metadatos de Apache Hive y Apache Oozie, asegúrese de que los datos SQL siempre permanecen cifrados. En el caso de las cuentas de Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.
HDInsight admite varios tipos de cifrado en dos niveles diferentes:
Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esta casilla está habilitada de forma predeterminada. SSE es un servicio de cifrado de nivel 1.
Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. No obstante, solo se aplica a los discos temporales y no está habilitado de manera predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.
Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de manera predeterminada y requiere que el cliente proporcione su propia clave mediante Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.
Referencia: Cifrado doble de Azure HDInsight para datos en reposo
DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario
Características
Cifrado de datos en reposo mediante CMK
Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: si usa Azure SQL Database para almacenar metadatos de Apache Hive y Apache Oozie, asegúrese de que los datos SQL siempre permanecen cifrados. En el caso de las cuentas de Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.
HDInsight admite varios tipos de cifrado en dos niveles diferentes:
Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esta casilla está habilitada de forma predeterminada. SSE es un servicio de cifrado de nivel 1.
Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. No obstante, solo se aplica a los discos temporales y no está habilitado de manera predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.
Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de manera predeterminada y requiere que el cliente proporcione su propia clave mediante Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.
Guía de configuración: si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesita el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.
Nota: Si usa Azure SQL Database para almacenar metadatos de Apache Hive y Apache Oozie, asegúrese de que los datos SQL siempre permanecen cifrados. En el caso de las cuentas de Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.
HDInsight admite varios tipos de cifrado en dos niveles diferentes:
Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esta casilla está habilitada de forma predeterminada. SSE es un servicio de cifrado de nivel 1.
Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. No obstante, solo se aplica a los discos temporales y no está habilitado de manera predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.
Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de manera predeterminada y requiere que el cliente proporcione su propia clave mediante Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.
Referencia: Cifrado doble de Azure HDInsight para datos en reposo
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: si usa Azure SQL Database para almacenar metadatos de Apache Hive y Apache Oozie, asegúrese de que los datos SQL siempre permanecen cifrados. En el caso de las cuentas de Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.
HDInsight admite varios tipos de cifrado en dos niveles diferentes:
Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esta casilla está habilitada de forma predeterminada. SSE es un servicio de cifrado de nivel 1.
Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. No obstante, solo se aplica a los discos temporales y no está habilitado de manera predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.
Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de manera predeterminada y requiere que el cliente proporcione su propia clave mediante Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.
Guía de configuración: use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación de claves, la distribución y el almacenamiento. Gire y revoque las claves en Azure Key Vault y el servicio en función de una programación definida o cuando haya una retirada o riesgo de claves. Cuando sea necesario usar la clave administrada por el cliente (CMK) en el nivel de carga de trabajo, servicio o aplicación, asegúrese de seguir los procedimientos recomendados para la administración de claves: use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves. Asegúrese de que las claves se registran con Azure Key Vault y se hace referencia a ellas a través de identificadores de clave desde el servicio o la aplicación. Si necesita traer su propia clave (BYOK) al servicio (por ejemplo, importar claves protegidas con HSM desde los HSM locales a Azure Key Vault), siga las instrucciones recomendadas para realizar la generación inicial de claves y la transferencia de claves.
Nota: Si usa Azure Key Vault con la implementación de Azure HDInsight, pruebe periódicamente la restauración de claves administradas por el cliente.
Referencia: Cifrado doble de Azure HDInsight para datos en reposo
DP-7: Uso de un proceso seguro de administración de certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Cifrado doble de Azure HDInsight para datos en reposo
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: use alias de Azure Policy en el espacio de nombres "Microsoft.HDInsight" para crear directivas personalizadas. Configure las directivas para auditar o aplicar la configuración de red del clúster de HDInsight.
Si tiene una suscripción a Rapid7, Qualys o cualquier otra plataforma de administración de vulnerabilidades, tiene opciones. Puede usar acciones de script para instalar agentes de evaluación de vulnerabilidades en los nodos del clúster de Azure HDInsight y administrar los nodos mediante el portal correspondiente.
Con Azure HDInsight ESP, puede usar Apache Ranger para crear y administrar directivas de ofuscación de datos y control de acceso específico. Puede hacerlo para los datos almacenados en: Files/Folders/Databases/Tables/Rows/Columns.
El administrador de Hadoop puede configurar RBAC de Azure para proteger Apache Hive, HBase, Kafka y Spark mediante esos complementos en Apache Ranger.
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar la configuración segura en los recursos de Azure.
Referencia: Definiciones integradas de Azure Policy para Azure HDInsight
AM-5: Uso exclusivo de aplicaciones aprobadas en una máquina virtual
Características
Microsoft Defender for Cloud: controles de aplicaciones adaptables
Descripción: el servicio puede limitar qué aplicaciones de cliente se ejecutan en la máquina virtual mediante controles de aplicaciones adaptables en Microsoft Defender for Cloud. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Notas de características: Azure HDInsight no admite defender de forma nativa; sin embargo, usa ClamAV. Además, al usar el ESP para HDInsight, puede usar algunas de las funcionalidades de detección de amenazas integradas de Microsoft Defender for Cloud. También puede habilitar Microsoft Defender para las máquinas virtuales asociadas a HDInsight.
Guía de configuración: esta característica no se admite para proteger este servicio.
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución específica de La oferta de Microsoft Defender para supervisar y alertar sobre problemas de seguridad. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para los recursos de HDInsight, excepto las operaciones de lectura (GET). Puede usar los registros de actividad para buscar errores al solucionar problemas, o para supervisar cómo han modificado los recursos los usuarios de su organización.
Habilite los registros de recursos de Azure para HDInsight. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y para llevar a cabo ejercicios forenses.
HDInsight también genera registros de auditoría de seguridad para las cuentas de administrador local. Habilite estos registros de auditoría de administrador local.
Guía de configuración: habilite los registros de recursos para el servicio. Por ejemplo, Key Vault admite registros de recursos adicionales para las acciones que obtienen un secreto de un almacén de claves o y Azure SQL tiene registros de recursos que realizan un seguimiento de las solicitudes a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
Referencia: Administración de registros para un clúster de HDInsight
Posición y administración de vulnerabilidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Postura y administración de vulnerabilidades.
PV-3: Definición y establecimiento de configuraciones seguras para los recursos de proceso
Características
State Configuration de Azure Automation
Descripción: State Configuration de Azure Automation se puede usar para mantener la configuración de seguridad del sistema operativo. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Microsoft administra y mantiene las imágenes del sistema operativo de Azure HDInsight. Sin embargo, el cliente es responsable de implementar la configuración de estado de nivel de sistema operativo para esa imagen. Las plantillas de máquina virtual de Microsoft, combinadas con State Configuration de Azure Automation, pueden ayudar a cumplir y mantener los requisitos de seguridad.
Guía de configuración: use State Configuration de Azure Automation para mantener la configuración de seguridad del sistema operativo.
Referencia: Introducción a State Configuration de Azure Automation
Agente de configuración de invitado de Azure Policy
Descripción: el agente de configuración de invitado de Azure Policy se puede instalar o implementar como una extensión para calcular los recursos. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Descripción de la característica de configuración de la máquina de Azure Automanage
Imágenes de máquina virtual personalizadas
Descripción: el servicio admite el uso de imágenes de máquina virtual proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Imágenes de contenedores personalizados
Descripción: el servicio admite el uso de imágenes de contenedor proporcionadas por el usuario o imágenes precompiladas de Marketplace con determinadas configuraciones de línea base aplicadas previamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
PV-5: Realización de evaluaciones de vulnerabilidades
Características
Evaluación de vulnerabilidades mediante Microsoft Defender
Descripción: el servicio se puede examinar para detectar vulnerabilidades mediante Microsoft Defender for Cloud u otra funcionalidad de evaluación de vulnerabilidades insertada de servicios de Microsoft Defender (incluido Microsoft Defender para servidor, registro de contenedor, App Service, SQL y DNS). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: Azure HDInsight no admite la evaluación de vulnerabilidades de Microsoft Defender de forma nativa, usa ClamAV para la protección contra malware. Sin embargo, al usar ESP para HDInsight, puede usar parte de la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud. También puede habilitar Microsoft Defender para las máquinas virtuales asociadas a HDInsight.
Reenvíe los registros de HDInsight a su SIEM, que se puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de supervisar los distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.
Guía de configuración: siga las recomendaciones de Microsoft Defender for Cloud para realizar evaluaciones de vulnerabilidades en las máquinas virtuales de Azure, imágenes de contenedor y servidores SQL Server.
Nota: Azure HDInsight no admite defender de forma nativa, usa ClamAV. Sin embargo, al usar ESP para HDInsight, puede usar parte de la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud. También puede habilitar Microsoft Defender para las máquinas virtuales asociadas a HDInsight.
Reenvíe los registros de HDInsight a su SIEM, que se puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de supervisar los distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.
PV-6: Reparación rápida y automática de vulnerabilidades
Características
Update Management en Azure Automation
Descripción: el servicio puede usar Update Management de Azure Automation para implementar revisiones y actualizaciones automáticamente. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Compartido |
Notas de características: las imágenes de Ubuntu están disponibles para la creación de clústeres de Azure HDInsight en un plazo de tres meses después de su publicación. Los clústeres en ejecución no se rellenan automáticamente. Los clientes deben usar acciones de script u otros mecanismos para revisar un clúster en ejecución. Como procedimiento recomendado, puede ejecutar estas acciones de script y aplicar las actualizaciones de seguridad justo después de crear el clúster.
Guía de configuración: use Update Management de Azure Automation o una solución de terceros para asegurarse de que las actualizaciones de seguridad más recientes están instaladas en las máquinas virtuales Windows y Linux. En el caso de las máquinas virtuales con Windows, asegúrese de que Windows Update se ha habilitado y configurado para actualizarse automáticamente.
Nota: Las imágenes de Ubuntu están disponibles para la nueva creación de clústeres de Azure HDInsight en un plazo de tres meses después de su publicación. Los clústeres en ejecución no se revisan automáticamente. Los clientes deben usar acciones de script u otros mecanismos para revisar un clúster en ejecución. Como procedimiento recomendado, puede ejecutar estas acciones de script y aplicar las actualizaciones de seguridad justo después de crear el clúster.
Referencia: Introducción a Update Management
Seguridad de los puntos de conexión
Para obtener más información, consulte La prueba comparativa de seguridad en la nube de Microsoft: Seguridad de los puntos de conexión.
ES-1: Uso de la detección y respuesta de puntos de conexión (EDR)
Características
Solución EDR
Descripción: la característica detección y respuesta de puntos de conexión (EDR), como Azure Defender para servidores, se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Azure HDInsight no admite Microsoft Defender para punto de conexión de forma nativa, usa ClamAV para la protección contra malware.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: ¿Puedo deshabilitar Clamscan en mi clúster?
ES-2: Uso de software antimalware moderno
Características
Solución antimalware
Descripción: característica antimalware, como Antivirus de Microsoft Defender, Microsoft Defender para punto de conexión se puede implementar en el punto de conexión. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Azure HDInsight usa ClamAV. Reenvíe los registros de ClamAV a un SIEM centralizado u otro sistema de detección y alertas.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Seguridad y certificados
ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware
Características
Supervisión del estado de la solución antimalware
Descripción: la solución antimalware proporciona supervisión del estado de mantenimiento para las actualizaciones automáticas de firma, motor y plataforma. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | True | Microsoft |
Notas de características: Azure HDInsight incluye Clamscan preinstalado y habilitado para las imágenes de nodo del clúster. Clamscan realizará automáticamente actualizaciones del motor y las definiciones y actualizará sus firmas antimalware en función de la base de datos oficial de firmas de virus de ClamAV.
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
Referencia: Seguridad y certificados
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantía de copias de seguridad automáticas periódicas
Características
Azure Backup
Descripción: el servicio de Azure Backup puede realizar una copia de seguridad del servicio. Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| False | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Funcionalidad de copia de seguridad nativa del servicio
Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.
| Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
|---|---|---|
| True | False | Customer |
Notas de características: La exportación de HBase y la replicación de HBase son formas comunes de habilitar la continuidad empresarial entre clústeres de HBase de HDInsight.
La exportación de HBase es un proceso de replicación por lotes que usa la utilidad de exportación de HBase para exportar tablas del clúster primario de HBase a su almacenamiento subyacente de Azure Data Lake Storage Gen 2. Después, se puede acceder a los datos exportados desde el clúster secundario de HBase e importarlos en las tablas que deben existir previamente en el secundario. Aunque la exportación de HBase ofrece granularidad de nivel de tabla, en situaciones de actualización incremental, el motor de automatización de exportación controla el intervalo de filas incrementales que se van a incluir en cada ejecución.
Guía de configuración: no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad.
Referencia: Configuración de copias de seguridad y replicación para Apache HBase y Apache Phoenix en HDInsight
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Obtenga más información sobre las líneas de base de seguridad de Azure.