Базовый план обеспечения безопасности Azure для HDInsight
Эти базовые показатели безопасности применяют рекомендации от microsoft cloud security benchmark версии 1.0 к HDInsight. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к HDInsight.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям к элементам управления и рекомендациям microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции , не применимые к HDInsight, были исключены. Чтобы узнать, как HDInsight полностью сопоставляется с эталонным показателем безопасности Microsoft cloud Security, см. полный файл сопоставления базовых показателей безопасности HDInsight.
Профиль безопасности
Профиль безопасности обобщает поведение HDInsight с высоким воздействием, что может привести к увеличению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продукта | Аналитика |
| Клиент может получить доступ к HOST / OS | Только чтение |
| Служба может быть развернута в виртуальной сети клиента | Истина |
| Сохраняет содержимое клиента неактивных данных | Истина |
Безопасность сети
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1: установка границы сегментации сети
Функции
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (виртуальная сеть). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Безопасность периметра в Azure HDInsight достигается с помощью виртуальных сетей. Корпоративный администратор может создать кластер в виртуальной сети и ограничить к ней доступ с помощью групп безопасности сети (NSG).
Руководство по настройке. Развертывание службы в виртуальной сети. Назначьте частные IP-адреса ресурсу (если применимо), если не существует строгой причины назначения общедоступных IP-адресов непосредственно ресурсу.
Примечание. В зависимости от стратегии сегментации приложений и корпоративной сегментации, ограничения или разрешения трафика между внутренними ресурсами на основе правил NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию".
Справочник. Планирование виртуальной сети для Azure HDInsight
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Безопасность периметра в Azure HDInsight достигается с помощью виртуальных сетей. Корпоративный администратор может создать кластер в виртуальной сети и ограничить к ней доступ с помощью групп безопасности сети (NSG). Для обмена данными с кластером Azure HDInsight допускаются только IP-адреса, включенные в правила NSG для входящего трафика. Эта конфигурация обеспечивает безопасность периметра. Все кластеры, развернутые в виртуальной сети, имеют также частную конечную точку. Конечная точка будет разрешаться в частный IP-адрес внутри виртуальной сети. Она предоставляет частный доступ по протоколу HTTP к шлюзам кластера.
В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию".
Порты, которые обычно требуются для всех типов кластеров:
22–23 — доступ по протоколу SSH к ресурсам кластера;
443 — Ambari, REST API WebHCat, HiveServer ODBC и JDBC.
Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или ip-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Справочник. Управление сетевым трафиком в Azure HDInsight
NS-2: защита облачных служб с помощью элементов управления сетью
Функции
Приватный канал Azure
Описание: возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Используйте Приватный канал Azure, чтобы обеспечить частный доступ к HDInsight из виртуальных сетей без пересечения Интернета. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы установить частную точку доступа для ресурсов.
Примечание. Используйте Приватный канал Azure, чтобы обеспечить частный доступ к HDInsight из виртуальных сетей без пересечения Интернета. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.
Справочник. Включение Приватный канал в кластере HDInsight
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или Брандмауэр Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания или переключателя для доступа к общедоступной сети.
Справочник. Ограничение общедоступного подключения в Azure HDInsight
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Функции
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Обзор корпоративной безопасности в Azure HDInsight
Методы локальной проверки подлинности для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. При создании кластера HDI в плоскости данных (Apache Ambari) создаются две учетные записи локального администратора. Один, соответствующий пользователю, для которого передаются учетные данные создателем кластера. Другой создается с помощью плоскости управления HDI. Плоскость управления HDI использует эту учетную запись для вызова плоскости данных. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Функции
управляемые удостоверения.
Описание. Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8: ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение учетных данных службы и секретов в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. При создании кластера HDI в плоскости данных (Apache Ambari) создаются две учетные записи локального администратора. Один, соответствующий пользователю, для которого передаются учетные данные создателем кластера. Другой создается с помощью плоскости управления HDI. Плоскость управления HDI использует эту учетную запись для вызова плоскости данных. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)
Функции
Azure RBAC для плоскости данных
Описание. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Плоскость данных поддерживает только роли на основе Ambari. Детализированный ACL выполняется с помощью Ranger.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защищенное хранилище
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным клиента, HDInsight поддерживает блокировку клиента. Вы получаете интерфейс для проверки и утверждения или отклонения запросов на доступ к данным клиента.
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Справочник. Блокировка клиента для Microsoft Azure
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Используйте теги для ресурсов, связанных с развертываниями Azure HDInsight, чтобы отслеживать ресурсы Azure, которые хранят или обрабатывают конфиденциальную информацию. Классификация и идентификация конфиденциальных данных с помощью Microsoft Purview. Используйте службу для любых данных, хранящихся в базах данных SQL или учетных записях службы хранилища Azure, связанных с кластером HDInsight.
Корпорация Майкрософт рассматривает все содержимое клиента на управляемой ею базовой платформе как конфиденциальное. Корпорация Майкрософт делает все возможное, чтобы значительно увеличить степень защиты от потери данных и их раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.
Руководство по настройке. Используйте такие средства, как Azure Purview, Azure Information Protection и Azure SQL Data Discovery и классификация для централизованного сканирования, классификации и метки всех конфиденциальных данных, находящихся в Azure, локальной среде, Microsoft 365 или других расположениях.
Справочник. Защита данных клиентов Azure
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Функции
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Совмещаемая блокировка |
Заметки о функциях: HDInsight поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней версии. Шифруйте любую конфиденциальную информацию при передаче. Убедитесь в том, что все клиенты, подключающиеся к кластеру Azure HDInsight или хранилищам данных кластера (учетные записи хранения Azure или Azure Data Lake Storage 1-го или 2-го поколения), могут использовать TLS 1.2 или более поздней версии. По умолчанию ресурсы Microsoft Azure будут согласовывать подключение по протоколу TLS 1.2.
В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками.
Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.
Руководство по настройке. Включение безопасной передачи в службах, где есть собственные данные в функции транзитного шифрования. Принудительное применение ПРОТОКОЛА HTTPS в любых веб-приложениях и службах и обеспечение использования TLS версии 1.2 или более поздней версии. Устаревшие версии, такие как SSL 3.0, tls версии 1.0 должны быть отключены. Для удаленного управления Виртуальные машины используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола.
Примечание. HDInsight поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней версии. Шифруйте любую конфиденциальную информацию при передаче. Убедитесь в том, что все клиенты, подключающиеся к кластеру Azure HDInsight или хранилищам данных кластера (учетные записи хранения Azure или Azure Data Lake Storage 1-го или 2-го поколения), могут использовать TLS 1.2 или более поздней версии. По умолчанию ресурсы Microsoft Azure будут согласовывать подключение по протоколу TLS 1.2.
В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками.
Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.
Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.
DP-4: включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Совмещаемая блокировка |
Заметки о функциях. При использовании База данных SQL Azure для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда шифруются. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Руководство по настройке. Включение шифрования неактивных данных с помощью ключей, управляемых платформой (Майкрософт), где служба не настроена автоматически.
Примечание. При использовании База данных SQL Azure для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Совмещаемая блокировка |
Заметки о функциях. При использовании База данных SQL Azure для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда шифруются. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Примечание. При использовании База данных SQL Azure для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
DP-6: безопасное управление ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Совмещаемая блокировка |
Заметки о функциях. При использовании База данных SQL Azure для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда шифруются. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при наличии выхода на пенсию или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Примечание. Если вы используете Azure Key Vault с развертыванием Azure HDInsight, периодически тестируйте восстановление управляемых клиентом ключей.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
DP-7: безопасное управление сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
Управление активами
Дополнительные сведения см. в руководстве по управлению ресурсами в Microsoft Cloud Security.
AM-2: использование только утвержденных служб
Функции
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Используйте псевдонимы Политика Azure в пространстве имен Microsoft.HDInsight для создания пользовательских политик. Создайте политики для аудита или принудительного применения сетевой конфигурации кластера HDInsight.
Если у вас есть подписка на Rapid7, Qualys или другую платформу управления уязвимостями, возможны разные варианты. С помощью скриптов вы можете установить агенты оценки уязвимостей на узлах кластера Azure HDInsight и управлять узлами через соответствующий портал.
С помощью Azure HDInsight ESP можно использовать Apache Ranger для создания детализированных политик управления доступом и маскировки данных, а также управления ими. Это можно сделать для данных, хранящихся в файлах, папках, базах данных, таблицах, строках и столбцах.
Администратор Hadoop может настроить Azure RBAC для защиты Apache Hive, HBase, Kafka и Spark с помощью этих подключаемых модулей в Apache Ranger.
Руководство по настройке. Используйте Microsoft Defender для облака для настройки Политика Azure для аудита и применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник. Встроенные определения Политика Azure для Azure HDInsight
AM-5: использование только утвержденных приложений на виртуальной машине
Функции
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях: Azure HDInsight не поддерживает защитник в собственном коде. Однако он использует ClamAV. Кроме того, при использовании ESP для HDInsight можно использовать некоторые из встроенных возможностей обнаружения угроз Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение ведения журнала для исследования безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не операции GET) для ресурсов HDInsight, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.
Включите журналы ресурсов Azure для HDInsight. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.
HDInsight также создает журналы аудита безопасности для локальных учетных записей администратора. Включите эти журналы аудита локального администратора.
Руководство по настройке. Включение журналов ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
Справочник. Управление журналами для кластера HDInsight
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в тестовом коде microsoft cloud security: Posture и управление уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Функции
Настройка состояния службы автоматизации Azure
Описание: служба автоматизации Azure конфигурацию состояния можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Образы операционной системы Azure HDInsight управляются и поддерживаются корпорацией Майкрософт. Однако клиент отвечает за реализацию конфигурации состояния на уровне ОС для этого образа. Шаблоны виртуальных машин Майкрософт в сочетании со средством State Configuration службы автоматизации Azure могут помочь в соблюдении и поддержании требований безопасности.
Руководство по настройке. Используйте конфигурацию состояния служба автоматизации Azure для поддержания конфигурации безопасности операционной системы.
Справочник. Обзор конфигурации состояния служба автоматизации Azure
агент гостевой конфигурации Политика Azure
Описание: Политика Azure агент гостевой конфигурации можно установить или развернуть как расширение для вычислительных ресурсов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Общие сведения о настройке компьютера в Службе автоматического управления Azure
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Пользовательские образы контейнеров
Описание. Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из Marketplace с определенными конфигурациями базовых конфигураций. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PV-5: выполнение оценок уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть сканирована для проверки уязвимостей с помощью Microsoft Defender для облака или других служб Microsoft Defender, встроенных возможностей оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Azure HDInsight не поддерживает Microsoft Defender для оценки уязвимостей в собственном коде, он использует ClamAV для защиты от вредоносных программ. Однако при использовании ESP для HDInsight можно применять некоторые встроенные возможности обнаружения Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.
Пересылайте журналы из HDInsight в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Сосредоточьтесь на высококачественных оповещениях, чтобы сократить число ложноположительных результатов, получаемых аналитиками. Источником оповещений могут быть данные журналов, агенты или другие данные.
Руководство по настройке. Следуйте рекомендациям из Microsoft Defender для облака для выполнения оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL.
Примечание. Azure HDInsight не поддерживает защитник в собственном коде, он использует ClamAV. Однако при использовании ESP для HDInsight можно применять некоторые встроенные возможности обнаружения Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.
Пересылайте журналы из HDInsight в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Сосредоточьтесь на высококачественных оповещениях, чтобы сократить число ложноположительных результатов, получаемых аналитиками. Источником оповещений могут быть данные журналов, агенты или другие данные.
PV-6: быстрое и автоматическое исправление уязвимостей
Функции
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Совмещаемая блокировка |
Заметки о функциях. Образы Ubuntu становятся доступными для создания нового кластера Azure HDInsight в течение трех месяцев после публикации. Запущенные кластеры не находятся в автоматическом режиме. Клиенты должны использовать действия сценария или другие механизмы для исправления работающего кластера. Рекомендуем выполнить эти действия скрипта и применить обновления системы безопасности сразу после создания кластера.
Руководство по настройке. Используйте управление обновлениями служба автоматизации Azure или стороннее решение, чтобы обеспечить установку последних обновлений системы безопасности на виртуальных машинах Windows и Linux. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.
Примечание. Образы Ubuntu становятся доступными для создания нового кластера Azure HDInsight в течение трех месяцев после публикации. Работающие кластеры не исправляются автоматически. Клиенты должны использовать действия сценария или другие механизмы для исправления работающего кластера. Рекомендуем выполнить эти действия скрипта и применить обновления системы безопасности сразу после создания кластера.
Справочник. Обзор управления обновлениями
безопасность конечных точек.
Дополнительные сведения см. в статье microsoft cloud security benchmark: Endpoint Security.
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Функции
Решение EDR
Описание. Функция обнаружения конечных точек и ответа (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях: Azure HDInsight не поддерживает Microsoft Defender для конечной точки изначально, он использует ClamAV для защиты от вредоносных программ.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справка. Можно ли отключить Clamscan кластер?
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Функции
Решение для защиты от вредоносных программ
Описание: функция защиты от вредоносных программ, например антивирусная программа в Microsoft Defender, Microsoft Defender для конечной точки можно развернуть на конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях: Azure HDInsight использует ClamAV. Пересылайте журналы ClamAV в централизованную систему SIEM или другую систему обнаружения и оповещения.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Безопасность и сертификаты
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Функции
Монитор работоспособности решения для защиты от вредоносных программ
Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности для обновлений платформы, подсистемы и автоматической подписи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях: Azure HDInsight поставляется с предварительно установленной и включенной Clamscan для образов узлов кластера. Clamscan будет автоматически выполнять обновление подсистемы, определений и сигнатур защиты от вредоносных программ на основе официальной базы данных сигнатур вирусов ClamAV.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Безопасность и сертификаты
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание. Служба может создавать резервную копию службы Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Репликация HBase и экспорт HBase являются общими способами обеспечения непрерывности бизнес-процессов между кластерами HDInsight HBase.
Экспорт HBase — это процесс пакетной репликации, использующий служебную программу экспорта HBase для экспорта таблиц из основного кластера HBase в базовое хранилище Azure Data Lake Storage 2-го поколения. После этого можно получить доступ к экспортированным данным из дополнительного кластера HBase и импортировать их в таблицы, которые уже должны быть созданы в дополнительном кластере. Хотя при экспорте HBase действительно предлагается детализация на уровне таблицы, в ситуациях инкрементного обновления модуль автоматизации экспорта управляет диапазоном инкрементных записей, включаемых в каждый запуск.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Настройка резервного копирования и репликации для Apache HBase и Apache Phoenix в HDInsight
Следующие шаги
- Ознакомьтесь с обзором microsoft cloud security benchmark
- Дополнительные сведения о базовой конфигурации безопасности Azure.