Azure-beveiligingsbasislijn voor HDInsight
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op HDInsight. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op HDInsight.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op HDInsight, zijn uitgesloten. Als u wilt zien hoe HDInsight volledig wordt toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand van de HDInsight-beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van high-impact gedrag van HDInsight, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Weergegeven als |
|---|---|
| Productcategorie | Analyse |
| Klant heeft toegang tot HOST/OS | Alleen-lezen |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud at rest op | Waar |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Perimeterbeveiliging in Azure HDInsight wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk maken en een netwerkbeveiligingsgroep (NSG) gebruiken om de toegang tot het virtuele netwerk te beperken.
Configuratierichtlijnen: de service implementeren in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.
Opmerking: Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen, zoals een app met drie lagen, kan dit standaard een zeer veilige deny-by-default zijn.
Naslaginformatie: Een virtueel netwerk plannen voor Azure HDInsight
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Perimeterbeveiliging in Azure HDInsight wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk maken en een netwerkbeveiligingsgroep (NSG) gebruiken om de toegang tot het virtuele netwerk te beperken. Alleen de toegestane IP-adressen in de inkomende NSG-regels kunnen communiceren met het Azure HDInsight-cluster. Deze configuratie biedt een perimeterbeveiliging. Alle clusters die in een virtueel netwerk zijn geïmplementeerd, hebben ook een privé-eindpunt. Het eindpunt wordt omgezet in een privé-IP-adres in het virtuele netwerk. Het biedt privé-HTTP-toegang tot de clustergateways.
Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen, zoals een app met drie lagen, kan dit standaard een zeer veilige deny-by-default zijn.
Poorten die over het algemeen vereist zijn voor alle typen clusters:
22-23 - SSH-toegang tot de clusterbronnen
443 - Ambari, WebHCat REST API, HiveServer ODBC en JDBC
Configuratierichtlijnen: Netwerkbeveiligingsgroepen (NSG) gebruiken om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de geopende poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar dat verkeer van virtueel netwerk en Azure Load Balancers is toegestaan.
Naslaginformatie: Netwerkverkeer beheren in Azure HDInsight
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Gebruik Azure Private Link om privétoegang tot HDInsight vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden. Privétoegang voegt een diepgaande meting toe aan Azure-verificatie en verkeersbeveiliging.
Configuratierichtlijnen: Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Opmerking: Gebruik Azure Private Link om privétoegang tot HDInsight vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden. Privétoegang voegt een diepgaande meting toe aan Azure-verificatie en verkeersbeveiliging.
Naslaginformatie: Private Link inschakelen op een HDInsight-cluster
Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: Openbare connectiviteit beperken in Azure HDInsight
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Overzicht van bedrijfsbeveiliging in Azure HDInsight
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: Methoden voor lokale verificatie die worden ondersteund voor toegang tot gegevensvlakken, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Wanneer een HDI-cluster wordt gemaakt, worden er twee lokale beheerdersaccounts gemaakt in het gegevensvlak (Apache Ambari). Een die overeenkomt met de gebruiker waarvoor de referentie wordt doorgegeven door de maker van het cluster. De andere wordt gemaakt door het HDI-besturingsvlak. Het HDI-besturingsvlak gebruikt dit account om gegevensvlak-aanroepen te doen. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Service-principals
Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Wanneer een HDI-cluster wordt gemaakt, worden er twee lokale beheerdersaccounts gemaakt in het gegevensvlak (Apache Ambari). Een die overeenkomt met de gebruiker waarvoor de referentie wordt doorgegeven door de maker van het cluster. De andere wordt gemaakt door het HDI-besturingsvlak. Het HDI-besturingsvlak gebruikt dit account om gegevensvlak-aanroepen te doen. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
PA-7: Principe van minimale bevoegdheden hanteren
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functienotities: het gegevensvlak ondersteunt alleen ambari-rollen. Fijnkorrelige ACL wordt uitgevoerd via Ranger.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor microsoft-ondersteuningstoegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot klantgegevens, ondersteunt HDInsight Customer Lockbox. Het biedt een interface voor het controleren van aanvragen voor toegang tot klantgegevens en het goedkeuren of afwijzen van aanvragen voor klantgegevens.
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te wijzen.
Naslaginformatie: Customer Lockbox for Microsoft Azure
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Gebruik tags voor resources met betrekking tot uw Azure HDInsight-implementaties om Azure-resources bij te houden die gevoelige informatie opslaan of verwerken. Gevoelige gegevens classificeren en identificeren met Microsoft Purview. Gebruik de service voor alle gegevens die zijn opgeslagen in SQL-databases of Azure Storage-accounts die zijn gekoppeld aan uw HDInsight-cluster.
Voor het onderliggende platform dat Door Microsoft wordt beheerd, behandelt Microsoft alle klantinhoud als gevoelig. Microsoft gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.
Configuratierichtlijnen: gebruik hulpprogramma's zoals Azure Purview, Azure Information Protection en Azure SQL Data Discovery en Classificatie om gevoelige gegevens centraal te scannen, classificeren en labelen die zich in Azure, on-premises, Microsoft 365 of andere locaties bevinden.
Naslaginformatie: Gegevensbescherming van Azure-klanten
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Gegevens in transitversleuteling
Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Gedeeld |
Functieopmerkingen: HDInsight ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure HDInsight-cluster of clustergegevensarchieven (Azure Storage-accounts of Azure Data Lake Storage Gen1/Gen2) TLS 1.2 of hoger kunnen onderhandelen. Microsoft Azure-resources onderhandelen standaard over TLS 1.2.
Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.
Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.
Configuratierichtlijnen: veilige overdracht inschakelen in services waarin een ingebouwde functie voor gegevensoverdrachtversleuteling is ingebouwd. Dwing HTTPS af op webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Oudere versies zoals SSL 3.0, TLS v1.0 moeten worden uitgeschakeld. Gebruik voor extern beheer van virtuele machines SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Opmerking: HDInsight ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure HDInsight-cluster of clustergegevensarchieven (Azure Storage-accounts of Azure Data Lake Storage Gen1/Gen2) TLS 1.2 of hoger kunnen onderhandelen. Microsoft Azure-resources onderhandelen standaard over TLS 1.2.
Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.
Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.
Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Gedeeld |
Functieopmerkingen: Als u Azure SQL Database gebruikt om Metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
SSE (Server Side Encryption) - SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt om besturingssysteemschijven en gegevensschijven te versleutelen. Standaard is deze functionaliteit ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op host met behulp van door het platform beheerde sleutel: dit type versleuteling wordt uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op de host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Deze functie is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Configuratierichtlijnen: schakel data-at-rest-versleuteling in met behulp van door het platform beheerde sleutels (Door Microsoft beheerde) sleutels, waar deze niet automatisch door de service worden geconfigureerd.
Opmerking: als u Azure SQL Database gebruikt om Metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
SSE (Server Side Encryption) - SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt om besturingssysteemschijven en gegevensschijven te versleutelen. Standaard is deze functionaliteit ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op host met behulp van door het platform beheerde sleutel: dit type versleuteling wordt uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op de host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Deze functie is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Naslaginformatie: Dubbele versleuteling van Azure HDInsight voor data-at-rest
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevens-at-rest-versleuteling met door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service is opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Gedeeld |
Functieopmerkingen: Als u Azure SQL Database gebruikt om Metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
SSE (Server Side Encryption) - SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt om besturingssysteemschijven en gegevensschijven te versleutelen. Standaard is deze functionaliteit ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op host met behulp van door het platform beheerde sleutel: dit type versleuteling wordt uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op de host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Deze functie is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Configuratierichtlijnen: definieer indien nodig voor naleving van regelgeving de use case en het servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig zijn. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Opmerking: als u Azure SQL Database gebruikt om Metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
SSE (Server Side Encryption) - SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt om besturingssysteemschijven en gegevensschijven te versleutelen. Standaard is deze functionaliteit ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op host met behulp van door het platform beheerde sleutel: dit type versleuteling wordt uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op de host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Deze functie is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Naslaginformatie: Dubbele versleuteling van Azure HDInsight voor data-at-rest
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Gedeeld |
Functieopmerkingen: Als u Azure SQL Database gebruikt om Metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
SSE (Server Side Encryption) - SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt om besturingssysteemschijven en gegevensschijven te versleutelen. Standaard is deze functionaliteit ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op host met behulp van door het platform beheerde sleutel: dit type versleuteling wordt uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op de host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Deze functie is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder het genereren, distribueren en opslaan van sleutels. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op een sleutel. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Opmerking: Als u Azure Key Vault gebruikt met uw Azure HDInsight-implementatie, test u periodiek het herstel van door de klant beheerde sleutels.
Naslaginformatie: Dubbele versleuteling van Azure HDInsight voor data-at-rest
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Dubbele versleuteling van Azure HDInsight voor data-at-rest
Asset-management
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij de functie: Gebruik Azure Policy-aliassen in de naamruimte Microsoft.HDInsight om aangepaste beleidsregels te maken. Configureer het beleid om de netwerkconfiguratie van uw HDInsight-cluster te controleren of af te dwingen.
Als u een Abonnement op Rapid7, Qualys of een ander platform voor beheer van beveiligingsproblemen hebt, hebt u opties. U kunt scriptacties gebruiken om agents voor evaluatie van beveiligingsproblemen te installeren op uw Azure HDInsight-clusterknooppunten en de knooppunten te beheren via de respectieve portal.
Met Azure HDInsight ESP kunt u Apache Ranger gebruiken om gedetailleerd toegangsbeheer en beleid voor gegevensverhulzing te maken en te beheren. U kunt dit doen voor uw gegevens die zijn opgeslagen in: Bestanden/Mappen/Databases/Tabellen/Rijen/Kolommen.
De Hadoop-beheerder kan Azure RBAC configureren om Apache Hive, HBase, Kafka en Spark te beveiligen met behulp van deze invoegtoepassingen in Apache Ranger.
Configuratierichtlijnen: gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen in Azure-resources.
Naslaginformatie: Ingebouwde Azure Policy-definities voor Azure HDInsight
AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine
Functies
Microsoft Defender voor Cloud - Adaptieve toepassingsregelaars
Beschrijving: De service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender voor Cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure HDInsight biedt geen ondersteuning voor defender op systeemeigen wijze. Het maakt echter wel gebruik van ClamAV. Daarnaast kunt u bij het gebruik van de ESP voor HDInsight een aantal van de ingebouwde mogelijkheden voor detectie van bedreigingen gebruiken Microsoft Defender voor Cloud. U kunt Microsoft Defender ook inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij functies: activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, bewerkingen voor uw HDInsight-resources, behalve leesbewerkingen (GET). U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers in uw organisatie resources hebben gewijzigd.
Schakel Azure-resourcelogboeken in voor HDInsight. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevensverzameling in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.
HDInsight produceert ook beveiligingscontrolelogboeken voor de lokale beheeraccounts. Schakel deze auditlogboeken voor lokale beheerders in.
Configuratierichtlijnen: Resourcelogboeken inschakelen voor de service. Key Vault biedt bijvoorbeeld ondersteuning voor extra resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of azure SQL heeft resourcelogboeken waarmee aanvragen voor een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Logboeken beheren voor een HDInsight-cluster
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft-benchmark voor cloudbeveiliging: Postuur- en beveiligingsproblemenbeheer voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Installatiekopieën van azure HDInsight-besturingssystemen worden beheerd en onderhouden door Microsoft. De klant is echter verantwoordelijk voor het implementeren van de statusconfiguratie op besturingssysteemniveau voor die installatiekopieën. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen voldoen aan de beveiligingsvereisten en deze te onderhouden.
Configuratierichtlijnen: Gebruik Azure Automation State Configuration om de beveiligingsconfiguratie van het besturingssysteem te onderhouden.
Naslaginformatie: overzicht van Azure Automation State Configuration
Gastconfiguratieagent van Azure Policy
Beschrijving: Azure Policy-gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als een extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Inzicht in de functie voor machineconfiguratie van Azure Automanage
Aangepaste VM-installatiekopieën
Beschrijving: De service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Aangepaste containerinstallatiekopieën
Beschrijving: Service biedt ondersteuning voor het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met Microsoft Defender
Beschrijving: De service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor Cloud of andere ingesloten mogelijkheden voor evaluatie van beveiligingsproblemen van Microsoft Defender-services (waaronder Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Azure HDInsight biedt geen ondersteuning voor Microsoft Defender voor evaluatie van beveiligingsproblemen, maar maakt gebruik van ClamAV voor malwarebeveiliging. Wanneer u echter de ESP voor HDInsight gebruikt, kunt u een aantal van de ingebouwde mogelijkheden voor detectie van bedreigingen gebruiken Microsoft Defender voor Cloud. U kunt Microsoft Defender ook inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.
Stuur logboeken van HDInsight door naar uw SIEM, die kunnen worden gebruikt om aangepaste detectie van bedreigingen in te stellen. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Focus op het krijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen worden opgehaald uit logboekgegevens, agents of andere gegevens.
Configuratierichtlijnen: volg aanbevelingen uit Microsoft Defender voor Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers.
Opmerking: Azure HDInsight biedt geen ondersteuning voor defender, maar maakt gebruik van ClamAV. Wanneer u echter de ESP voor HDInsight gebruikt, kunt u een aantal van de ingebouwde mogelijkheden voor detectie van bedreigingen gebruiken Microsoft Defender voor Cloud. U kunt Microsoft Defender ook inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.
Stuur logboeken van HDInsight door naar uw SIEM, die kunnen worden gebruikt om aangepaste detectie van bedreigingen in te stellen. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Focus op het krijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen worden opgehaald uit logboekgegevens, agents of andere gegevens.
PV-6: Beveiligingsproblemen snel en automatisch herstellen
Functies
Azure Automation-updatebeheer
Beschrijving: Service kan Azure Automation Update Management gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Gedeeld |
Functieopmerkingen: Ubuntu-installatiekopieën worden beschikbaar voor het maken van een nieuw Azure HDInsight-cluster binnen drie maanden na publicatie. Actieve clusters worden niet automatisch gepatcht. Klanten moeten scriptacties of andere mechanismen gebruiken om een actief cluster te patchen. Als best practice kunt u deze scriptacties uitvoeren en beveiligingsupdates toepassen direct na het maken van het cluster.
Configuratierichtlijnen: Gebruik Azure Automation-updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw Windows- en Linux-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en zo is ingesteld dat deze automatisch wordt bijgewerkt.
Opmerking: Ubuntu-installatiekopieën worden beschikbaar voor het maken van een nieuw Azure HDInsight-cluster binnen drie maanden na publicatie. Actieve clusters worden niet automatisch gepatcht. Klanten moeten scriptacties of andere mechanismen gebruiken om een actief cluster te patchen. Als best practice kunt u deze scriptacties uitvoeren en beveiligingsupdates toepassen direct na het maken van het cluster.
Naslaginformatie: Overzicht van Updatebeheer
Eindpuntbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Eindpuntbeveiliging voor meer informatie.
ES-1: Eindpuntdetectie en -respons gebruiken (EDR)
Functies
EDR-oplossing
Beschrijving: De functie Eindpuntdetectie en -respons (EDR), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure HDInsight biedt geen ondersteuning voor Microsoft Defender voor Eindpunt systeemeigen, maar maakt gebruik van ClamAV voor bescherming tegen malware.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Kan ik uitschakelen Clamscan voor mijn cluster?
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: Antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt kan worden geïmplementeerd op het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure HDInsight maakt gebruik van ClamAV. Stuur de ClamAV-logboeken door naar een gecentraliseerd SIEM- of ander detectie- en waarschuwingssysteem.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Beveiliging en certificaten
ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt
Functies
Statuscontrole van antimalwareoplossing
Beschrijving: Antimalwareoplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure HDInsight wordt geleverd met Clamscan vooraf geïnstalleerd en ingeschakeld voor de installatiekopieën van het clusterknooppunt. Clamscan voert automatisch engine- en definitie-updates uit en werkt de antimalwarehandtekeningen bij op basis van de officiële virushandtekeningdatabase van ClamAV.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Beveiliging en certificaten
Back-up en herstel
Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: De service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze geen Azure Backup gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: HBase Export en HBase Replication zijn veelvoorkomende manieren om bedrijfscontinuïteit tussen HDInsight HBase-clusters mogelijk te maken.
HBase Export is een batchreplicatieproces dat gebruikmaakt van het HBase Export Utility om tabellen van het primaire HBase-cluster te exporteren naar de onderliggende Azure Data Lake Storage Gen 2-opslag. De geëxporteerde gegevens kunnen vervolgens worden geopend vanuit het secundaire HBase-cluster en geïmporteerd in tabellen die vooraf moeten bestaan in de secundaire. Hoewel HBase Export wel granulariteit op tabelniveau biedt, bepaalt de exportautomatiseringsengine in incrementele updatesituaties het bereik van incrementele rijen die in elke uitvoering moeten worden opgenomen.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Back-up en replicatie instellen voor Apache HBase en Apache Phoenix in HDInsight
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Lees meer over basislijnen voor de beveiliging van Azure