Linha de base de segurança do Azure para HDInsight
Esta linha de base de segurança aplica as orientações do benchmark de segurança na nuvem da Microsoft versão 1.0 ao HDInsight. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança na nuvem da Microsoft e pelas orientações relacionadas aplicáveis ao HDInsight.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
Os recursos não aplicáveis ao HDInsight foram excluídos. Para ver como o HDInsight mapeia completamente para o benchmark de segurança na nuvem da Microsoft, consulte o arquivo de mapeamento de linha de base de segurança completo do HDInsight.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do HDInsight, o que pode resultar em considerações de segurança maiores.
| Atributo comportamento do serviço | Value |
|---|---|
| Categoria do Produto | Análise |
| O cliente pode aceder ao HOST/SO | Somente Leitura |
| O serviço pode ser implementado na rede virtual do cliente | True |
| Armazena o conteúdo do cliente inativo | True |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: A segurança de perímetro no Azure HDInsight é obtida através de redes virtuais. Um administrador corporativo pode criar um cluster dentro de uma rede virtual e usar um NSG (grupo de segurança de rede) para restringir o acesso à rede virtual.
Diretrizes de configuração: implante o serviço em uma rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que haja um motivo forte para atribuir IPs públicos diretamente ao recurso.
Nota: Com base em seus aplicativos e estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base em suas regras NSG. Para aplicativos específicos e bem definidos, como um aplicativo de três camadas, isso pode ser uma negação altamente segura por padrão.
Referência: Planejar uma rede virtual para o Azure HDInsight
Suporte ao Grupo de Segurança de Rede
Descrição: O tráfego de rede de serviço respeita a atribuição de regras de Grupos de Segurança de Rede em suas sub-redes. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: A segurança de perímetro no Azure HDInsight é obtida através de redes virtuais. Um administrador corporativo pode criar um cluster dentro de uma rede virtual e usar um NSG (grupo de segurança de rede) para restringir o acesso à rede virtual. Somente os endereços IP permitidos nas regras NSG de entrada podem se comunicar com o cluster do Azure HDInsight. Esta configuração fornece segurança de perímetro. Todos os clusters implantados em uma rede virtual também terão um ponto de extremidade privado. O ponto de extremidade será resolvido para um endereço IP privado dentro da Rede Virtual. Ele fornece acesso HTTP privado aos gateways de cluster.
Com base em seus aplicativos e estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base em suas regras NSG. Para aplicativos específicos e bem definidos, como um aplicativo de três camadas, isso pode ser uma negação altamente segura por padrão.
Portas geralmente necessárias em todos os tipos de clusters:
22-23 - Acesso SSH aos recursos do cluster
443 - Ambari, WebHCat REST API, HiveServer ODBC e JDBC
Diretrizes de configuração: use grupos de segurança de rede (NSG) para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gerenciamento sejam acessadas de redes não confiáveis). Lembre-se de que, por padrão, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Referência: Controlar o tráfego de rede no Azure HDInsight
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: utilize a Ligação Privada do Azure para ativar o acesso privado ao HDInsight a partir das suas redes virtuais sem atravessar a Internet. O acesso privado adiciona uma medida de defesa profunda à autenticação do Azure e à segurança do tráfego.
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Observação: use o Azure Private Link para habilitar o acesso privado ao HDInsight de suas redes virtuais sem cruzar a Internet. O acesso privado adiciona uma medida de defesa profunda à autenticação do Azure e à segurança do tráfego.
Referência: Habilitar link privado em um cluster HDInsight
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: desabilite o acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço ou um comutador de alternância para acesso à rede pública.
Referência: Restringir a conectividade pública no Azure HDInsight
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: use o Azure Ative Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de dados.
Referência: Visão geral da segurança corporativa no Azure HDInsight
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recurso: Quando um cluster HDI é criado, duas contas de administrador local são criadas no plano de dados (Apache Ambari). Um correspondente ao usuário para o qual a credencial é passada pelo criador do cluster. O outro é criado pelo plano de controle do IDH. O plano de controle HDI usa essa conta para fazer chamadas de plano de dados. Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de recurso: Quando um cluster HDI é criado, duas contas de administrador local são criadas no plano de dados (Apache Ambari). Um correspondente ao usuário para o qual a credencial é passada pelo criador do cluster. O outro é criado pelo plano de controle do IDH. O plano de controle HDI usa essa conta para fazer chamadas de plano de dados. Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de recurso: O plano de dados suporta apenas funções baseadas em Ambari. A ACL de grão fino é feita via Ranger.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: Em cenários de suporte em que a Microsoft precisa de aceder aos dados do cliente, o HDInsight suporta o Customer Lockbox. Ele fornece uma interface para você revisar as solicitações de acesso aos dados do cliente e aprová-las ou rejeitá-las.
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Customer Lockbox for Microsoft Azure
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de recurso: use tags em recursos relacionados às suas implantações do Azure HDInsight para ajudar a controlar os recursos do Azure que armazenam ou processam informações confidenciais. Classifique e identifique dados confidenciais usando o Microsoft Purview. Use o serviço para quaisquer dados armazenados em bancos de dados SQL ou contas de Armazenamento do Azure associadas ao cluster HDInsight.
Para a plataforma subjacente, que a Microsoft gerencia, a Microsoft trata todo o conteúdo do cliente como confidencial. A Microsoft não mede esforços para se proteger contra a perda e exposição de dados dos clientes. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou e mantém um conjunto de controles e recursos robustos de proteção de dados.
Orientações de Configuração: utilize ferramentas como o Azure Purview, a Proteção de Informações do Azure e a Deteção e Classificação de Dados SQL do Azure para analisar, classificar e rotular centralmente quaisquer dados confidenciais que residam no Azure, no local, no Microsoft 365 ou noutras localizações.
Referência: Proteção de dados do cliente do Azure
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Partilhado |
Notas de recursos: o HDInsight oferece suporte à criptografia de dados em trânsito com TLS v1.2 ou superior. Criptografe todas as informações confidenciais em trânsito. Certifique-se de que todos os clientes que se conectam ao cluster do Azure HDInsight ou armazenamentos de dados de cluster (Contas de Armazenamento do Azure ou Azure Data Lake Storage Gen1/Gen2) podem negociar TLS 1.2 ou superior. Os recursos do Microsoft Azure negociarão o TLS 1.2 por padrão.
Para complementar os controles de acesso, proteja os dados em trânsito contra ataques "fora da banda", como a captura de tráfego. Use a criptografia para garantir que os invasores não consigam ler ou modificar facilmente os dados.
Para gerenciamento remoto, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Versões e protocolos SSL, TLS, SSH obsoletos e cifras fracas devem ser desativados.
Orientação de configuração: habilite a transferência segura em serviços onde há um recurso nativo de criptografia de dados em trânsito integrado. Imponha HTTPS em quaisquer aplicativos e serviços da Web e certifique-se de que o TLS v1.2 ou posterior seja usado. As versões herdadas, como SSL 3.0, TLS v1.0, devem ser desativadas. Para gerenciamento remoto de máquinas virtuais, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.
Nota: O HDInsight suporta criptografia de dados em trânsito com TLS v1.2 ou superior. Criptografe todas as informações confidenciais em trânsito. Certifique-se de que todos os clientes que se conectam ao cluster do Azure HDInsight ou armazenamentos de dados de cluster (Contas de Armazenamento do Azure ou Azure Data Lake Storage Gen1/Gen2) podem negociar TLS 1.2 ou superior. Os recursos do Microsoft Azure negociarão o TLS 1.2 por padrão.
Para complementar os controles de acesso, proteja os dados em trânsito contra ataques "fora da banda", como a captura de tráfego. Use a criptografia para garantir que os invasores não consigam ler ou modificar facilmente os dados.
Para gerenciamento remoto, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Versões e protocolos SSL, TLS, SSH obsoletos e cifras fracas devem ser desativados.
Por padrão, o Azure fornece criptografia para dados em trânsito entre data centers do Azure.
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Partilhado |
Notas de recurso: Se estiver usando o Banco de Dados SQL do Azure para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL sempre permaneçam criptografados. Para Contas de Armazenamento do Azure e Armazenamento Data Lake (Gen1 ou Gen2), é recomendável permitir que a Microsoft gerencie suas chaves de criptografia, no entanto, você pode gerenciar suas próprias chaves.
O HDInsight suporta vários tipos de criptografia em duas camadas diferentes:
Criptografia do lado do servidor (SSE) - SSE é realizada pelo serviço de armazenamento. No HDInsight, o SSE é usado para criptografar discos do sistema operacional e discos de dados. Está ativada por predefinição. SSE é um serviço de criptografia de camada 1.
Criptografia no host usando chave gerenciada pela plataforma - Semelhante ao SSE, esse tipo de criptografia é executado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está habilitado por padrão. A criptografia no host também é um serviço de criptografia de camada 1.
Criptografia em repouso usando chave gerenciada pelo cliente - Este tipo de criptografia pode ser usado em dados e discos temporários. Ele não está habilitado por padrão e exige que o cliente forneça sua própria chave por meio do cofre de chaves do Azure. A criptografia em repouso é um serviço de criptografia de camada 2.
Diretrizes de configuração: habilite a criptografia de dados em repouso usando chaves gerenciadas pela plataforma (gerenciadas pela Microsoft) quando não configuradas automaticamente pelo serviço.
Observação: se estiver usando o Banco de Dados SQL do Azure para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL sempre permaneçam criptografados. Para Contas de Armazenamento do Azure e Armazenamento Data Lake (Gen1 ou Gen2), é recomendável permitir que a Microsoft gerencie suas chaves de criptografia, no entanto, você pode gerenciar suas próprias chaves.
O HDInsight suporta vários tipos de criptografia em duas camadas diferentes:
Criptografia do lado do servidor (SSE) - SSE é realizada pelo serviço de armazenamento. No HDInsight, o SSE é usado para criptografar discos do sistema operacional e discos de dados. Está ativada por predefinição. SSE é um serviço de criptografia de camada 1.
Criptografia no host usando chave gerenciada pela plataforma - Semelhante ao SSE, esse tipo de criptografia é executado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está habilitado por padrão. A criptografia no host também é um serviço de criptografia de camada 1.
Criptografia em repouso usando chave gerenciada pelo cliente - Este tipo de criptografia pode ser usado em dados e discos temporários. Ele não está habilitado por padrão e exige que o cliente forneça sua própria chave por meio do cofre de chaves do Azure. A criptografia em repouso é um serviço de criptografia de camada 2.
Referência: criptografia dupla do Azure HDInsight para dados em repouso
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Partilhado |
Notas de recurso: Se estiver usando o Banco de Dados SQL do Azure para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL sempre permaneçam criptografados. Para Contas de Armazenamento do Azure e Armazenamento Data Lake (Gen1 ou Gen2), é recomendável permitir que a Microsoft gerencie suas chaves de criptografia, no entanto, você pode gerenciar suas próprias chaves.
O HDInsight suporta vários tipos de criptografia em duas camadas diferentes:
Criptografia do lado do servidor (SSE) - SSE é realizada pelo serviço de armazenamento. No HDInsight, o SSE é usado para criptografar discos do sistema operacional e discos de dados. Está ativada por predefinição. SSE é um serviço de criptografia de camada 1.
Criptografia no host usando chave gerenciada pela plataforma - Semelhante ao SSE, esse tipo de criptografia é executado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está habilitado por padrão. A criptografia no host também é um serviço de criptografia de camada 1.
Criptografia em repouso usando chave gerenciada pelo cliente - Este tipo de criptografia pode ser usado em dados e discos temporários. Ele não está habilitado por padrão e exige que o cliente forneça sua própria chave por meio do cofre de chaves do Azure. A criptografia em repouso é um serviço de criptografia de camada 2.
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.
Observação: se estiver usando o Banco de Dados SQL do Azure para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL sempre permaneçam criptografados. Para Contas de Armazenamento do Azure e Armazenamento Data Lake (Gen1 ou Gen2), é recomendável permitir que a Microsoft gerencie suas chaves de criptografia, no entanto, você pode gerenciar suas próprias chaves.
O HDInsight suporta vários tipos de criptografia em duas camadas diferentes:
Criptografia do lado do servidor (SSE) - SSE é realizada pelo serviço de armazenamento. No HDInsight, o SSE é usado para criptografar discos do sistema operacional e discos de dados. Está ativada por predefinição. SSE é um serviço de criptografia de camada 1.
Criptografia no host usando chave gerenciada pela plataforma - Semelhante ao SSE, esse tipo de criptografia é executado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está habilitado por padrão. A criptografia no host também é um serviço de criptografia de camada 1.
Criptografia em repouso usando chave gerenciada pelo cliente - Este tipo de criptografia pode ser usado em dados e discos temporários. Ele não está habilitado por padrão e exige que o cliente forneça sua própria chave por meio do cofre de chaves do Azure. A criptografia em repouso é um serviço de criptografia de camada 2.
Referência: criptografia dupla do Azure HDInsight para dados em repouso
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Partilhado |
Notas de recurso: Se estiver usando o Banco de Dados SQL do Azure para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL sempre permaneçam criptografados. Para Contas de Armazenamento do Azure e Armazenamento Data Lake (Gen1 ou Gen2), é recomendável permitir que a Microsoft gerencie suas chaves de criptografia, no entanto, você pode gerenciar suas próprias chaves.
O HDInsight suporta vários tipos de criptografia em duas camadas diferentes:
Criptografia do lado do servidor (SSE) - SSE é realizada pelo serviço de armazenamento. No HDInsight, o SSE é usado para criptografar discos do sistema operacional e discos de dados. Está ativada por predefinição. SSE é um serviço de criptografia de camada 1.
Criptografia no host usando chave gerenciada pela plataforma - Semelhante ao SSE, esse tipo de criptografia é executado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está habilitado por padrão. A criptografia no host também é um serviço de criptografia de camada 1.
Criptografia em repouso usando chave gerenciada pelo cliente - Este tipo de criptografia pode ser usado em dados e discos temporários. Ele não está habilitado por padrão e exige que o cliente forneça sua própria chave por meio do cofre de chaves do Azure. A criptografia em repouso é um serviço de criptografia de camada 2.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Observação: se você estiver usando o Azure Key Vault com sua implantação do Azure HDInsight, teste periodicamente a restauração de chaves gerenciadas pelo cliente com backup.
Referência: criptografia dupla do Azure HDInsight para dados em repouso
DP-7: Use um processo seguro de gerenciamento de certificados
Funcionalidades
Gerenciamento de certificados no Azure Key Vault
Descrição: O serviço dá suporte à integração do Azure Key Vault para qualquer certificado de cliente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: criptografia dupla do Azure HDInsight para dados em repouso
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de recurso: use aliases de Política do Azure no namespace "Microsoft.HDInsight" para criar políticas personalizadas. Configure as políticas para auditar ou impor a configuração de rede do cluster HDInsight.
Se você tiver uma assinatura do Rapid7, Qualys ou qualquer outra plataforma de gerenciamento de vulnerabilidades, você tem opções. Você pode usar ações de script para instalar agentes de avaliação de vulnerabilidade em seus nós de cluster do Azure HDInsight e gerenciar os nós por meio do respetivo portal.
Com o Azure HDInsight ESP, você pode usar o Apache Ranger para criar e gerenciar políticas refinadas de controle de acesso e ofuscação de dados. Pode fazê-lo para os seus dados armazenados em: Ficheiros/Pastas/Bases de dados/Tabelas/Linhas/Colunas.
O administrador do Hadoop pode configurar o RBAC do Azure para proteger o Apache Hive, HBase, Kafka e Spark usando esses plug-ins no Apache Ranger.
Diretrizes de configuração: use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio de configuração detetado nos recursos. Use os efeitos da Política do Azure [negar] e [implantar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: Definições internas da Política do Azure para o Azure HDInsight
AM-5: Use apenas aplicativos aprovados na máquina virtual
Funcionalidades
Microsoft Defender for Cloud - Controles de aplicativos adaptáveis
Descrição: O serviço pode limitar quais aplicativos do cliente são executados na máquina virtual usando os Controles de Aplicativo Adaptáveis no Microsoft Defender for Cloud. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Notas de funcionalidade: o Azure HDInsight não suporta defender nativamente, no entanto, utiliza o ClamAV. Além disso, ao usar o ESP para HDInsight, você pode usar alguns dos recursos internos de deteção de ameaças do Microsoft Defender for Cloud. Você também pode habilitar o Microsoft Defender para suas VMs associadas ao HDInsight.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: Os registos de atividade estão disponíveis automaticamente. Os logs contêm todas as operações PUT, POST e DELETE, mas não GET, para seus recursos do HDInsight, exceto operações de leitura (GET). Você pode usar os logs de atividades para localizar erros durante a solução de problemas ou para monitorar como os usuários em sua organização modificaram os recursos.
Habilite os logs de recursos do Azure para o HDInsight. Você pode usar o Microsoft Defender for Cloud e o Azure Policy para habilitar logs de recursos e coleta de dados de log. Esses registros podem ser críticos para investigar incidentes de segurança e realizar exercícios forenses.
O HDInsight também produz logs de auditoria de segurança para as contas de administração locais. Habilite esses logs de auditoria de administrador local.
Diretrizes de configuração: habilite logs de recursos para o serviço. Por exemplo, o Cofre da Chave dá suporte a logs de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou e o SQL do Azure tem logs de recursos que rastreiam solicitações para um banco de dados. O conteúdo dos logs de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: gerenciar logs para um cluster HDInsight
Gestão de postura e de vulnerabilidade
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Postura e gerenciamento de vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
State Configuration da Automatização do Azure
Descrição: A Configuração do Estado de Automação do Azure pode ser usada para manter a configuração de segurança do sistema operacional. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: As Imagens do Sistema Operativo Azure HDInsight são geridas e mantidas pela Microsoft. No entanto, o cliente é responsável por implementar a configuração de estado no nível do sistema operacional para essa imagem. Os modelos de VM da Microsoft combinados com a Configuração de Estado de Automação do Azure podem ajudar a atender e manter os requisitos de segurança.
Diretrizes de configuração: use a Configuração do Estado de Automação do Azure para manter a configuração de segurança do sistema operacional.
Referência: Visão geral da Configuração do Estado de Automação do Azure
Agente de Configuração de Convidado de Política do Azure
Descrição: o agente de configuração de convidado da Política do Azure pode ser instalado ou implantado como uma extensão para recursos de computação. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Compreender o recurso de configuração de máquina do Azure Automanage
Imagens de VM personalizadas
Descrição: o serviço suporta o uso de imagens de VM fornecidas pelo usuário ou imagens pré-criadas do mercado com determinadas configurações de linha de base pré-aplicadas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Imagens de contêineres personalizados
Descrição: O serviço suporta o uso de imagens de contêiner fornecidas pelo usuário ou imagens pré-criadas do mercado com determinadas configurações de linha de base pré-aplicadas. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PV-5: Realizar avaliações de vulnerabilidade
Funcionalidades
Avaliação de vulnerabilidade usando o Microsoft Defender
Descrição: O serviço pode ser verificado quanto à verificação de vulnerabilidades usando o Microsoft Defender for Cloud ou outros recursos de avaliação de vulnerabilidade incorporados dos serviços Microsoft Defender (incluindo o Microsoft Defender para servidor, registro de contêiner, Serviço de Aplicativo, SQL e DNS). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de funcionalidade: O Azure HDInsight não suporta o Microsoft Defender para avaliação de vulnerabilidades nativamente, utiliza o ClamAV para proteção contra malware. No entanto, ao usar o ESP para HDInsight, você pode usar alguns dos recursos internos de deteção de ameaças do Microsoft Defender for Cloud. Você também pode habilitar o Microsoft Defender para suas VMs associadas ao HDInsight.
Encaminhe todos os logs do HDInsight para seu SIEM, que pode ser usado para configurar deteções de ameaças personalizadas. Certifique-se de que está a monitorizar diferentes tipos de ativos do Azure em busca de potenciais ameaças e anomalias. Concentre-se em obter alertas de alta qualidade para reduzir os falsos positivos para os analistas classificarem. Os alertas podem ser obtidos a partir de dados de log, agentes ou outros dados.
Diretrizes de configuração: siga as recomendações do Microsoft Defender for Cloud para executar avaliações de vulnerabilidade em suas máquinas virtuais do Azure, imagens de contêiner e servidores SQL.
Observação: o Azure HDInsight não oferece suporte ao defender nativamente, ele usa o ClamAV. No entanto, ao usar o ESP para HDInsight, você pode usar alguns dos recursos internos de deteção de ameaças do Microsoft Defender for Cloud. Você também pode habilitar o Microsoft Defender para suas VMs associadas ao HDInsight.
Encaminhe todos os logs do HDInsight para seu SIEM, que pode ser usado para configurar deteções de ameaças personalizadas. Certifique-se de que está a monitorizar diferentes tipos de ativos do Azure em busca de potenciais ameaças e anomalias. Concentre-se em obter alertas de alta qualidade para reduzir os falsos positivos para os analistas classificarem. Os alertas podem ser obtidos a partir de dados de log, agentes ou outros dados.
PV-6: Corrige vulnerabilidades de forma rápida e automática
Funcionalidades
Gestão de Atualizações da Automatização do Azure
Descrição: O serviço pode usar o Azure Automation Update Management para implantar patches e atualizações automaticamente. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Partilhado |
Notas de recurso: as imagens do Ubuntu ficam disponíveis para a criação de novos clusters do Azure HDInsight dentro de três meses após serem publicadas. Os clusters em execução não são corrigidos automaticamente. Os clientes devem usar ações de script ou outros mecanismos para corrigir um cluster em execução. Como prática recomendada, você pode executar essas ações de script e aplicar atualizações de segurança logo após a criação do cluster.
Diretrizes de configuração: use o Azure Automation Update Management ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes sejam instaladas em suas VMs Windows e Linux. Para VMs do Windows, verifique se o Windows Update foi habilitado e definido para atualização automática.
Observação: as imagens do Ubuntu ficam disponíveis para a criação de novos clusters do Azure HDInsight dentro de três meses após serem publicadas. Os clusters em execução não são corrigidos automaticamente. Os clientes devem usar ações de script ou outros mecanismos para corrigir um cluster em execução. Como prática recomendada, você pode executar essas ações de script e aplicar atualizações de segurança logo após a criação do cluster.
Referência: Visão geral do Gerenciamento de Atualizações
Segurança de pontos finais
Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de ponto final.
ES-1: Usar EDR (Endpoint Detection and Response)
Funcionalidades
Solução EDR
Descrição: o recurso EDR (Endpoint Detection and Response), como o Azure Defender for servers, pode ser implantado no ponto de extremidade. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: O Azure HDInsight não suporta o Microsoft Defender for Endpoint nativamente, utiliza o ClamAV para proteção contra malware.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Posso desativar Clamscan no meu cluster?
ES-2: Use software anti-malware moderno
Funcionalidades
Solução Anti-Malware
Descrição: O recurso antimalware, como o Microsoft Defender Antivirus, o Microsoft Defender for Endpoint pode ser implantado no ponto de extremidade. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: o Azure HDInsight utiliza o ClamAV. Encaminhe os logs do ClamAV para um SIEM centralizado ou outro sistema de deteção e alerta.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Segurança e Certificados
ES-3: Garantir que o software antimalware e as assinaturas estejam atualizados
Funcionalidades
Monitoramento da integridade da solução antimalware
Descrição: A solução antimalware fornece monitoramento de status de integridade para atualizações automáticas de plataforma, mecanismo e assinatura. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | True | Microsoft |
Notas de funcionalidade: o Azure HDInsight vem com o Clamscan pré-instalado e ativado para as imagens do nó do cluster. O Clamscan realizará atualizações de mecanismo e definição automaticamente e atualizará suas assinaturas antimalware com base no banco de dados oficial de assinaturas de vírus do ClamAV.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Segurança e Certificados
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| False | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Mais informações.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| True | False | Cliente |
Notas de recursos: a Exportação do HBase e a Replicação do HBase são maneiras comuns de habilitar a continuidade de negócios entre clusters HBase do HDInsight.
O HBase Export é um processo de replicação em lote que usa o HBase Export Utility para exportar tabelas do cluster HBase primário para seu armazenamento subjacente do Azure Data Lake Storage Gen 2. Os dados exportados podem então ser acessados a partir do cluster HBase secundário e importados para tabelas que devem preexistir no secundário. Embora o HBase Export ofereça granularidade no nível da tabela, em situações de atualização incremental, o mecanismo de automação de exportação controla o intervalo de linhas incrementais a serem incluídas em cada execução.
Diretrizes de configuração: não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança.
Referência: Configurar backup e replicação para Apache HBase e Apache Phoenix no HDInsight
Próximos passos
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure