Punkt odniesienia zabezpieczeń platformy Azure dla usługi HDInsight
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi HDInsight. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest grupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usługi HDInsight.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu Microsoft Defender dla Chmury. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender dla Chmury.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje , które nie mają zastosowania do usługi HDInsight, zostały wykluczone. Aby zobaczyć, jak usługa HDInsight całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi HDInsight.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę HDInsight, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Analiza |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Tylko do odczytu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: zabezpieczenia obwodowe w usłudze Azure HDInsight są osiągane za pośrednictwem sieci wirtualnych. Administrator przedsiębiorstwa może utworzyć klaster w sieci wirtualnej i użyć sieciowej grupy zabezpieczeń w celu ograniczenia dostępu do sieci wirtualnej.
Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.
Uwaga: na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji, takich jak aplikacja trójwarstwowa, może to być domyślnie wysoce bezpieczna odmowa.
Dokumentacja: Planowanie sieci wirtualnej dla usługi Azure HDInsight
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: zabezpieczenia obwodowe w usłudze Azure HDInsight są osiągane za pośrednictwem sieci wirtualnych. Administrator przedsiębiorstwa może utworzyć klaster w sieci wirtualnej i użyć sieciowej grupy zabezpieczeń w celu ograniczenia dostępu do sieci wirtualnej. Tylko dozwolone adresy IP w regułach przychodzącej sieciowej grupy zabezpieczeń mogą komunikować się z klastrem usługi Azure HDInsight. Ta konfiguracja zapewnia zabezpieczenia obwodowe. Wszystkie klastry wdrożone w sieci wirtualnej będą również miały prywatny punkt końcowy. Punkt końcowy zostanie rozpoznany jako prywatny adres IP wewnątrz sieci wirtualnej. Zapewnia prywatny dostęp HTTP do bram klastra.
Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji, takich jak aplikacja trójwarstwowa, może to być domyślnie wysoce bezpieczna odmowa.
Porty wymagane zazwyczaj we wszystkich typach klastrów:
22-23 — Dostęp SSH do zasobów klastra
443 — Ambari, WebHCat REST API, HiveServer ODBC i JDBC
Wskazówki dotyczące konfiguracji: Użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie dostępowi portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usługi Azure Load Balancers.
Dokumentacja: Kontrolowanie ruchu sieciowego w usłudze Azure HDInsight
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub usługą Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użyj usługi Azure Private Link, aby włączyć prywatny dostęp do usługi HDInsight z sieci wirtualnych bez przekraczania Internetu. Dostęp prywatny dodaje środek ochrony szczegółowej do uwierzytelniania platformy Azure i zabezpieczeń ruchu.
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Uwaga: użyj usługi Azure Private Link, aby włączyć prywatny dostęp do usługi HDInsight z sieci wirtualnych bez przekraczania Internetu. Dostęp prywatny dodaje środek ochrony szczegółowej do uwierzytelniania platformy Azure i zabezpieczeń ruchu.
Dokumentacja: Włączanie usługi Private Link w klastrze usługi HDInsight
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika przełącznika na potrzeby dostępu do sieci publicznej.
Dokumentacja: Ograniczanie łączności publicznej w usłudze Azure HDInsight
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: Omówienie zabezpieczeń przedsiębiorstwa w usłudze Azure HDInsight
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: po utworzeniu klastra usługi HDI dwa konta administratora lokalnego są tworzone na płaszczyźnie danych (Apache Ambari). Jeden odpowiadający użytkownikowi, dla którego poświadczenia są przekazywane przez twórcę klastra. Druga jest tworzona przez płaszczyznę sterowania usługi HDI. Płaszczyzna sterowania usługi HDI używa tego konta do wywoływannia płaszczyzny danych. Unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Poświadczenia usługi i wpisy tajne obsługują integrację i magazyn w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: po utworzeniu klastra usługi HDI dwa konta administratora lokalnego są tworzone na płaszczyźnie danych (Apache Ambari). Jeden odpowiadający użytkownikowi, dla którego poświadczenia są przekazywane przez twórcę klastra. Druga jest tworzona przez płaszczyznę sterowania usługi HDI. Płaszczyzna sterowania usługi HDI używa tego konta do wywoływannia płaszczyzny danych. Unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
PA-7: przestrzeganie zasady minimalnego wystarczającego zakresu administracji (zasada najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: płaszczyzna danych obsługuje tylko role oparte na systemie Ambari. Szczegółowa lista ACL jest wykonywana za pośrednictwem platformy Ranger.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, usługa HDInsight obsługuje blokadę klienta. Udostępnia interfejs umożliwiający przeglądanie żądań dostępu do danych klientów i ich zatwierdzanie lub odrzucanie.
Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta, aby przejrzeć, a następnie zatwierdzić lub odrzucić żądania dostępu do danych firmy Microsoft.
Dokumentacja: Skrytka klienta dla platformy Microsoft Azure
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użyj tagów dotyczących zasobów związanych z wdrożeniami usługi Azure HDInsight, aby ułatwić śledzenie zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje. Klasyfikowanie i identyfikowanie poufnych danych przy użyciu usługi Microsoft Purview. Użyj usługi dla wszystkich danych przechowywanych w bazach danych SQL lub kontach usługi Azure Storage skojarzonych z klastrem usługi HDInsight.
W przypadku podstawowej platformy, którą zarządza firma Microsoft, firma Microsoft traktuje całą zawartość klienta jako wrażliwą. Firma Microsoft stara się chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.
Wskazówki dotyczące konfiguracji: Użyj narzędzi, takich jak Azure Purview, Azure Information Protection i Azure SQL Data Discovery and Classification, aby centralnie skanować, klasyfikować i oznaczać wszelkie poufne dane, które znajdują się na platformie Azure, lokalnie, na platformie Microsoft 365 lub w innych lokalizacjach.
Dokumentacja: Ochrona danych klientów platformy Azure
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: usługa HDInsight obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że wszyscy klienci łączący się z klastrem usługi Azure HDInsight lub magazynami danych klastra (konta usługi Azure Storage lub usługa Azure Data Lake Storage Gen1/Gen2) mogą negocjować protokół TLS 1.2 lub nowszy. Zasoby platformy Microsoft Azure domyślnie będą negocjować protokół TLS 1.2.
Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane podczas przesyłania przed atakami typu "poza pasmem", takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.
W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe protokoły SSL, TLS, SSH i słabe szyfry powinny być wyłączone.
Wskazówki dotyczące konfiguracji: Włącz bezpieczny transfer w usługach, w których wbudowane są natywne dane przesyłane. Wymuś protokół HTTPS w dowolnych aplikacjach internetowych i usługach i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Uwaga: usługa HDInsight obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że wszyscy klienci łączący się z klastrem usługi Azure HDInsight lub magazynami danych klastra (konta usługi Azure Storage lub usługa Azure Data Lake Storage Gen1/Gen2) mogą negocjować protokół TLS 1.2 lub nowszy. Zasoby platformy Microsoft Azure domyślnie będą negocjować protokół TLS 1.2.
Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane podczas przesyłania przed atakami typu "poza pasmem", takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.
W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe protokoły SSL, TLS, SSH i słabe szyfry powinny być wyłączone.
Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane, każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: jeśli używasz usługi Azure SQL Database do przechowywania metadanych apache Hive i Apache Oozie, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i usługi Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak można zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest domyślnie włączony. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest to tylko dysk tymczasowy i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane to usługa szyfrowania warstwy 2.
Wskazówki dotyczące konfiguracji: Włączanie szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez platformę (zarządzanych przez firmę Microsoft), które nie są automatycznie konfigurowane przez usługę.
Uwaga: Jeśli używasz usługi Azure SQL Database do przechowywania metadanych apache Hive i Apache Oozie, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i usługi Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak można zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest domyślnie włączony. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest to tylko dysk tymczasowy i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane to usługa szyfrowania warstwy 2.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych magazynowanych, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: jeśli używasz usługi Azure SQL Database do przechowywania metadanych apache Hive i Apache Oozie, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i usługi Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak można zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest domyślnie włączony. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest to tylko dysk tymczasowy i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane to usługa szyfrowania warstwy 2.
Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Uwaga: Jeśli używasz usługi Azure SQL Database do przechowywania metadanych apache Hive i Apache Oozie, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i usługi Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak można zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest domyślnie włączony. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest to tylko dysk tymczasowy i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane to usługa szyfrowania warstwy 2.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: jeśli używasz usługi Azure SQL Database do przechowywania metadanych apache Hive i Apache Oozie, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i usługi Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak można zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest domyślnie włączony. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest to tylko dysk tymczasowy i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane to usługa szyfrowania warstwy 2.
Wskazówki dotyczące konfiguracji: Użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyne za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Uwaga: jeśli używasz usługi Azure Key Vault we wdrożeniu usługi Azure HDInsight, okresowo testujesz przywracanie kopii zapasowych kluczy zarządzanych przez klienta.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użyj aliasów usługi Azure Policy w przestrzeni nazw "Microsoft.HDInsight", aby utworzyć zasady niestandardowe. Skonfiguruj zasady, aby przeprowadzać inspekcję lub wymuszać konfigurację sieci klastra usługi HDInsight.
Jeśli masz subskrypcję platformy Rapid7, Qualys lub dowolną inną subskrypcję platformy zarządzanie lukami w zabezpieczeniach, masz opcje. Możesz użyć akcji skryptu, aby zainstalować agentów oceny luk w zabezpieczeniach w węzłach klastra usługi Azure HDInsight i zarządzać węzłami za pośrednictwem odpowiedniego portalu.
Korzystając z usługi Azure HDInsight ESP, możesz użyć platformy Apache Ranger do tworzenia szczegółowej kontroli dostępu i zaciemniania danych oraz zarządzania nimi. Możesz to zrobić dla danych przechowywanych w: Pliki/Foldery/Bazy danych/Tabele/Wiersze/Kolumny.
Administrator usługi Hadoop może skonfigurować kontrolę dostępu opartą na rolach platformy Azure w celu zabezpieczenia usług Apache Hive, HBase, Kafka i Spark przy użyciu tych wtyczek w usłudze Apache Ranger.
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender dla Chmury, aby skonfigurować usługę Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj funkcji Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację w zasobach platformy Azure.
Dokumentacja: wbudowane definicje usługi Azure Policy dla usługi Azure HDInsight
AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej
Funkcje
Microsoft Defender dla Chmury — adaptacyjne kontrolki aplikacji
Opis: Usługa może ograniczyć możliwości uruchamiania aplikacji klienckich na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w Microsoft Defender dla Chmury. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: usługa Azure HDInsight nie obsługuje natywnie usługi Defender, ale korzysta z programu ClamAV. Ponadto w przypadku korzystania z usługi ESP dla usługi HDInsight można użyć niektórych wbudowanych funkcji wykrywania zagrożeń Microsoft Defender dla Chmury. Możesz również włączyć usługę Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Usługa Microsoft Defender dla usług/oferta produktów
Opis: Usługa oferuje rozwiązanie usługi Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: dzienniki aktywności są dostępne automatycznie. Dzienniki zawierają wszystkie operacje PUT, POST i DELETE, ale nie GET, dla zasobów usługi HDInsight z wyjątkiem operacji odczytu (GET). Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników w organizacji.
Włącz dzienniki zasobów platformy Azure dla usługi HDInsight. Za pomocą Microsoft Defender dla Chmury i usługi Azure Policy można włączyć zbieranie dzienników zasobów i danych dzienników. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i przeprowadzania ćwiczeń kryminalistycznych.
Usługa HDInsight tworzy również dzienniki inspekcji zabezpieczeń dla kont administrowania lokalnego. Włącz te dzienniki inspekcji administratora lokalnego.
Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają wpis tajny z magazynu kluczy lub usługa Azure SQL zawiera dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Dokumentacja: Zarządzanie dziennikami klastra usługi HDInsight
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Azure Automation State Configuration
Opis: Usługa Azure Automation State Configuration może służyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Obrazy systemu operacyjnego usługi Azure HDInsight są zarządzane i obsługiwane przez firmę Microsoft. Jednak klient jest odpowiedzialny za implementację konfiguracji stanu na poziomie systemu operacyjnego dla tego obrazu. Szablony maszyn wirtualnych firmy Microsoft połączone z usługą Azure Automation State Configuration mogą pomóc spełnić i zachować wymagania dotyczące zabezpieczeń.
Wskazówki dotyczące konfiguracji: Użyj usługi Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego.
Dokumentacja: Omówienie usługi Azure Automation State Configuration
Agent konfiguracji gościa usługi Azure Policy
Opis: Agent konfiguracji gościa usługi Azure Policy można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Omówienie funkcji konfiguracji maszyny w usłudze Azure Automanage
Niestandardowe obrazy maszyn wirtualnych
Opis: Usługa obsługuje korzystanie z obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z witryny Marketplace z wstępnie zastosowanymi konfiguracjami punktu odniesienia. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Obrazy kontenerów niestandardowych
Opis: Usługa obsługuje korzystanie z obrazów kontenerów dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z witryny Marketplace z wstępnie zastosowanymi konfiguracjami punktu odniesienia. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Funkcje
Ocena luk w zabezpieczeniach przy użyciu usługi Microsoft Defender
Opis: Usługę można skanować pod kątem skanowania pod kątem luk w zabezpieczeniach przy użyciu Microsoft Defender dla Chmury lub innych funkcji oceny osadzonych luk w zabezpieczeniach usług Microsoft Defender (w tym usługi Microsoft Defender dla serwera, rejestru kontenerów, usługi App Service, sql i DNS). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Usługa Azure HDInsight nie obsługuje natywnej oceny luk w zabezpieczeniach w usłudze Microsoft Defender, używa programu ClamAV do ochrony przed złośliwym oprogramowaniem. Jednak w przypadku korzystania z esp dla usługi HDInsight można użyć niektórych wbudowanych funkcji wykrywania zagrożeń Microsoft Defender dla Chmury. Możesz również włączyć usługę Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.
Przekaż wszystkie dzienniki z usługi HDInsight do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.
Wskazówki dotyczące konfiguracji: postępuj zgodnie z zaleceniami Microsoft Defender dla Chmury dotyczącymi przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL.
Uwaga: usługa Azure HDInsight nie obsługuje natywnie usługi Defender, używa klasy ClamAV. Jednak w przypadku korzystania z esp dla usługi HDInsight można użyć niektórych wbudowanych funkcji wykrywania zagrożeń Microsoft Defender dla Chmury. Możesz również włączyć usługę Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.
Przekaż wszystkie dzienniki z usługi HDInsight do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Funkcje
Azure Automation — Update Management
Opis: Usługa może używać usługi Azure Automation Update Management do automatycznego wdrażania poprawek i aktualizacji. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: obrazy z systemem Ubuntu stają się dostępne do utworzenia nowego klastra usługi Azure HDInsight w ciągu trzech miesięcy od opublikowania. Uruchomione klastry nie są automatycznie poprawiane. Klienci muszą używać akcji skryptu lub innych mechanizmów, aby zastosować poprawki działającego klastra. Najlepszym rozwiązaniem jest uruchomienie tych akcji skryptu i zastosowanie aktualizacji zabezpieczeń bezpośrednio po utworzeniu klastra.
Wskazówki dotyczące konfiguracji: Użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że usługa Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
Uwaga: obrazy z systemem Ubuntu stają się dostępne do utworzenia nowego klastra usługi Azure HDInsight w ciągu trzech miesięcy od opublikowania. Uruchamianie klastrów nie jest automatycznie poprawiane. Klienci muszą używać akcji skryptu lub innych mechanizmów, aby zastosować poprawki działającego klastra. Najlepszym rozwiązaniem jest uruchomienie tych akcji skryptu i zastosowanie aktualizacji zabezpieczeń bezpośrednio po utworzeniu klastra.
Dokumentacja: Omówienie rozwiązania Update Management
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia punktu końcowego.
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
Funkcje
Rozwiązanie EDR
Opis: Funkcja wykrywania i reagowania punktu końcowego (EDR), taka jak usługa Azure Defender dla serwerów, można wdrożyć w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Azure HDInsight nie obsługuje Ochrona punktu końcowego w usłudze Microsoft Defender natywnie, używa programu ClamAV do ochrony przed złośliwym oprogramowaniem.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Czy mogę wyłączyć Clamscan klaster?
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Funkcje
Rozwiązanie chroniące przed złośliwym oprogramowaniem
Opis: Funkcja ochrony przed złośliwym oprogramowaniem, taka jak Program antywirusowy Microsoft Defender, można wdrożyć Ochrona punktu końcowego w usłudze Microsoft Defender w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Azure HDInsight używa programu ClamAV. Przekaż dzienniki ClamAV do scentralizowanego rozwiązania SIEM lub innego systemu wykrywania i zgłaszania alertów.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Zabezpieczenia i certyfikaty
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Funkcje
Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem
Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji podpisów. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Azure HDInsight zawiera wstępnie zainstalowane i włączone narzędzie Clamscan dla obrazów węzłów klastra. Clamscan będzie automatycznie wykonywać aktualizacje aparatu i definicji i aktualizować jego sygnatury ochrony przed złośliwym oprogramowaniem na podstawie oficjalnej bazy danych podpisów wirusów ClamAV.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Zabezpieczenia i certyfikaty
Tworzenie kopii zapasowych i odzyskiwanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Możliwości tworzenia kopii zapasowej natywnej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Eksportowanie bazy danych HBase i replikacja bazy danych HBase to typowe sposoby włączania ciągłości działania między klastrami HBase usługi HDInsight.
Eksport HBase to proces replikacji wsadowej, który używa narzędzia eksportu HBase do eksportowania tabel z podstawowego klastra HBase do jego bazowego magazynu usługi Azure Data Lake Storage Gen 2. generacji. Następnie można uzyskać dostęp do wyeksportowanych danych z pomocniczego klastra HBase i zaimportować je do tabel, które muszą wstępnie istnieć w pomocniczej bazie danych. Podczas gdy eksport HBase oferuje stopień szczegółowości na poziomie tabeli, w sytuacjach aktualizacji przyrostowych aparat automatyzacji steruje zakresem wierszy przyrostowych do uwzględnienia w każdym uruchomieniu.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Konfigurowanie tworzenia kopii zapasowych i replikacji dla baz danych Apache HBase i Apache Phoenix w usłudze HDInsight
Następne kroki
- Zobacz omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Dowiedz się więcej o punktach odniesienia zabezpieczeń platformy Azure