Azures säkerhetsbaslinje för HDInsight
Den här säkerhetsbaslinjen tillämpar vägledning från Microsofts prestandamått för molnsäkerhet version 1.0 till HDInsight. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts prestandamått för molnsäkerhet och den relaterade vägledning som gäller för HDInsight.
Du kan övervaka säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på sidan Microsoft Defender för molnet portal.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Kommentar
Funktioner som inte gäller för HDInsight har exkluderats. Om du vill se hur HDInsight helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för HDInsight-säkerhetsbaslinjen.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar hdinsights påverkansbeteenden, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Analys |
| Kunden kan komma åt HOST/OS | Skrivskyddad |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Perimetersäkerhet i Azure HDInsight uppnås via virtuella nätverk. En företagsadministratör kan skapa ett kluster i ett virtuellt nätverk och använda en nätverkssäkerhetsgrupp (NSG) för att begränsa åtkomsten till det virtuella nätverket.
Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.
Obs! Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på dina NSG-regler. För specifika, väldefinierade program som en app med tre nivåer kan detta vara en mycket säker neka som standard.
Referens: Planera ett virtuellt nätverk för Azure HDInsight
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Perimetersäkerhet i Azure HDInsight uppnås via virtuella nätverk. En företagsadministratör kan skapa ett kluster i ett virtuellt nätverk och använda en nätverkssäkerhetsgrupp (NSG) för att begränsa åtkomsten till det virtuella nätverket. Endast de tillåtna IP-adresserna i de inkommande NSG-reglerna kan kommunicera med Azure HDInsight-klustret. Den här konfigurationen ger perimetersäkerhet. Alla kluster som distribueras i ett virtuellt nätverk har också en privat slutpunkt. Slutpunkten matchas mot en privat IP-adress i det virtuella nätverket. Den ger privat HTTP-åtkomst till klustergatewayerna.
Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på dina NSG-regler. För specifika, väldefinierade program som en app med tre nivåer kan detta vara en mycket säker neka som standard.
Portar som krävs i allmänhet för alla typer av kluster:
22–23 – SSH-åtkomst till klusterresurserna
443 – Ambari, WebHCat REST API, HiveServer ODBC och JDBC
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Referens: Kontrollera nätverkstrafik i Azure HDInsight
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Använd Azure Private Link för att aktivera privat åtkomst till HDInsight från dina virtuella nätverk utan att korsa Internet. Privat åtkomst lägger till ett djupskyddsmått för Azure-autentisering och trafiksäkerhet.
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
Obs! Använd Azure Private Link för att aktivera privat åtkomst till HDInsight från dina virtuella nätverk utan att korsa Internet. Privat åtkomst lägger till ett djupskyddsmått för Azure-autentisering och trafiksäkerhet.
Referens: Aktivera Private Link i ett HDInsight-kluster
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk". Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av ip-ACL-filtreringsregeln på tjänstnivå eller en växlare för offentlig nätverksåtkomst.
Referens: Begränsa offentlig anslutning i Azure HDInsight
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Översikt över företagssäkerhet i Azure HDInsight
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: När ett HDI-kluster skapas skapas två lokala administratörskonton i dataplanet (Apache Ambari). En som motsvarar den användare för vilken autentiseringsuppgifter skickas av klusterskapare. Den andra skapas av HDI-kontrollplanet. HDI-kontrollplanet använder det här kontot för att göra dataplansanrop. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala administratörskonton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: När ett HDI-kluster skapas skapas två lokala administratörskonton i dataplanet (Apache Ambari). En som motsvarar den användare för vilken autentiseringsuppgifter skickas av klusterskapare. Den andra skapas av HDI-kontrollplanet. HDI-kontrollplanet använder det här kontot för att göra dataplansanrop. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
PA-7: Följ principen om minsta behörighet (Just Enough Administration)
Funktioner
Azure RBAC för dataplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Dataplanet stöder endast Ambari-baserade roller. Detaljerad ACL görs via Ranger.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: I supportscenarier där Microsoft behöver åtkomst till kunddata har HDInsight stöd för Customer Lockbox. Det tillhandahåller ett gränssnitt där du kan granska begäranden om åtkomst till kunddata och godkänna eller avvisa dem.
Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Referens: Kundlåsbox för Microsoft Azure
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Använd taggar för resurser som är relaterade till dina Azure HDInsight-distributioner för att spåra Azure-resurser som lagrar eller bearbetar känslig information. Klassificera och identifiera känsliga data med hjälp av Microsoft Purview. Använd tjänsten för data som lagras i SQL-databaser eller Azure Storage-konton som är associerade med ditt HDInsight-kluster.
För den underliggande plattformen, som Microsoft hanterar, behandlar Microsoft allt kundinnehåll som känsligt. Microsoft gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.
Konfigurationsvägledning: Använd verktyg som Azure Purview, Azure Information Protection och Azure SQL Data Discovery and Classification för att centralt genomsöka, klassificera och märka känsliga data som finns i Azure, lokalt, Microsoft 365 eller andra platser.
Referens: Azure-kunddataskydd
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data i överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Delad |
Funktionsanteckningar: HDInsight stöder datakryptering under överföring med TLS v1.2 eller senare. Kryptera all känslig information under överföring. Kontrollera att alla klienter som ansluter till ditt Azure HDInsight-kluster eller klusterdatalager (Azure Storage-konton eller Azure Data Lake Storage Gen1/Gen2) kan förhandla om TLS 1.2 eller senare. Microsoft Azure-resurser förhandlar som standard om TLS 1.2.
För att komplettera åtkomstkontroller skyddar du data under överföring mot "out of band"-attacker som trafikinsamling. Använd kryptering för att se till att angripare inte enkelt kan läsa eller ändra data.
För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS-, SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.
Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns inbyggda data i den inbyggda funktionen för överföringskryptering. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner som SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
Obs! HDInsight stöder datakryptering under överföring med TLS v1.2 eller senare. Kryptera all känslig information under överföring. Kontrollera att alla klienter som ansluter till ditt Azure HDInsight-kluster eller klusterdatalager (Azure Storage-konton eller Azure Data Lake Storage Gen1/Gen2) kan förhandla om TLS 1.2 eller senare. Microsoft Azure-resurser förhandlar som standard om TLS 1.2.
För att komplettera åtkomstkontroller skyddar du data under överföring mot "out of band"-attacker som trafikinsamling. Använd kryptering för att se till att angripare inte enkelt kan läsa eller ändra data.
För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS-, SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.
Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Delad |
Funktionsanteckningar: Om du använder Azure SQL Database för att lagra Apache Hive- och Apache Oozie-metadata kontrollerar du att SQL-data alltid förblir krypterade. För Azure Storage-konton och Data Lake Storage (Gen1 eller Gen2) rekommenderar vi att Microsoft hanterar dina krypteringsnycklar, men du kan hantera dina egna nycklar.
HDInsight stöder flera typer av kryptering i två olika lager:
Kryptering på serversidan (SSE) – SSE utförs av lagringstjänsten. I HDInsight används SSE för att kryptera OS-diskar och datadiskar. Som standard är den aktiverad. SSE är en layer 1-krypteringstjänst.
Kryptering på värden med hjälp av plattformshanterad nyckel – Ungefär som SSE utförs den här typen av kryptering av lagringstjänsten. Det är dock bara för tillfälliga diskar och är inte aktiverat som standard. Kryptering på värden är också en layer 1-krypteringstjänst.
Kryptering i vila med kundhanterad nyckel – Den här typen av kryptering kan användas på data och tillfälliga diskar. Den är inte aktiverad som standard och kräver att kunden tillhandahåller sin egen nyckel via Azure Key Vault. Kryptering i vila är en layer 2-krypteringstjänst.
Konfigurationsvägledning: Aktivera vilande datakryptering med hjälp av plattformshanterade (Microsoft-hanterade) nycklar där tjänsten inte konfigurerats automatiskt.
Obs! Om du använder Azure SQL Database för att lagra Apache Hive- och Apache Oozie-metadata kontrollerar du att SQL-data alltid förblir krypterade. För Azure Storage-konton och Data Lake Storage (Gen1 eller Gen2) rekommenderar vi att Microsoft hanterar dina krypteringsnycklar, men du kan hantera dina egna nycklar.
HDInsight stöder flera typer av kryptering i två olika lager:
Kryptering på serversidan (SSE) – SSE utförs av lagringstjänsten. I HDInsight används SSE för att kryptera OS-diskar och datadiskar. Som standard är den aktiverad. SSE är en layer 1-krypteringstjänst.
Kryptering på värden med hjälp av plattformshanterad nyckel – Ungefär som SSE utförs den här typen av kryptering av lagringstjänsten. Det är dock bara för tillfälliga diskar och är inte aktiverat som standard. Kryptering på värden är också en layer 1-krypteringstjänst.
Kryptering i vila med kundhanterad nyckel – Den här typen av kryptering kan användas på data och tillfälliga diskar. Den är inte aktiverad som standard och kräver att kunden tillhandahåller sin egen nyckel via Azure Key Vault. Kryptering i vila är en layer 2-krypteringstjänst.
Referens: Dubbel kryptering i Azure HDInsight för vilande data
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Delad |
Funktionsanteckningar: Om du använder Azure SQL Database för att lagra Apache Hive- och Apache Oozie-metadata kontrollerar du att SQL-data alltid förblir krypterade. För Azure Storage-konton och Data Lake Storage (Gen1 eller Gen2) rekommenderar vi att Microsoft hanterar dina krypteringsnycklar, men du kan hantera dina egna nycklar.
HDInsight stöder flera typer av kryptering i två olika lager:
Kryptering på serversidan (SSE) – SSE utförs av lagringstjänsten. I HDInsight används SSE för att kryptera OS-diskar och datadiskar. Som standard är den aktiverad. SSE är en layer 1-krypteringstjänst.
Kryptering på värden med hjälp av plattformshanterad nyckel – Ungefär som SSE utförs den här typen av kryptering av lagringstjänsten. Det är dock bara för tillfälliga diskar och är inte aktiverat som standard. Kryptering på värden är också en layer 1-krypteringstjänst.
Kryptering i vila med kundhanterad nyckel – Den här typen av kryptering kan användas på data och tillfälliga diskar. Den är inte aktiverad som standard och kräver att kunden tillhandahåller sin egen nyckel via Azure Key Vault. Kryptering i vila är en layer 2-krypteringstjänst.
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfattningen där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Obs! Om du använder Azure SQL Database för att lagra Apache Hive- och Apache Oozie-metadata kontrollerar du att SQL-data alltid förblir krypterade. För Azure Storage-konton och Data Lake Storage (Gen1 eller Gen2) rekommenderar vi att Microsoft hanterar dina krypteringsnycklar, men du kan hantera dina egna nycklar.
HDInsight stöder flera typer av kryptering i två olika lager:
Kryptering på serversidan (SSE) – SSE utförs av lagringstjänsten. I HDInsight används SSE för att kryptera OS-diskar och datadiskar. Som standard är den aktiverad. SSE är en layer 1-krypteringstjänst.
Kryptering på värden med hjälp av plattformshanterad nyckel – Ungefär som SSE utförs den här typen av kryptering av lagringstjänsten. Det är dock bara för tillfälliga diskar och är inte aktiverat som standard. Kryptering på värden är också en layer 1-krypteringstjänst.
Kryptering i vila med kundhanterad nyckel – Den här typen av kryptering kan användas på data och tillfälliga diskar. Den är inte aktiverad som standard och kräver att kunden tillhandahåller sin egen nyckel via Azure Key Vault. Kryptering i vila är en layer 2-krypteringstjänst.
Referens: Dubbel kryptering i Azure HDInsight för vilande data
DP-6: Använd en process för säker nyckelhantering
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Delad |
Funktionsanteckningar: Om du använder Azure SQL Database för att lagra Apache Hive- och Apache Oozie-metadata kontrollerar du att SQL-data alltid förblir krypterade. För Azure Storage-konton och Data Lake Storage (Gen1 eller Gen2) rekommenderar vi att Microsoft hanterar dina krypteringsnycklar, men du kan hantera dina egna nycklar.
HDInsight stöder flera typer av kryptering i två olika lager:
Kryptering på serversidan (SSE) – SSE utförs av lagringstjänsten. I HDInsight används SSE för att kryptera OS-diskar och datadiskar. Som standard är den aktiverad. SSE är en layer 1-krypteringstjänst.
Kryptering på värden med hjälp av plattformshanterad nyckel – Ungefär som SSE utförs den här typen av kryptering av lagringstjänsten. Det är dock bara för tillfälliga diskar och är inte aktiverat som standard. Kryptering på värden är också en layer 1-krypteringstjänst.
Kryptering i vila med kundhanterad nyckel – Den här typen av kryptering kan användas på data och tillfälliga diskar. Den är inte aktiverad som standard och kräver att kunden tillhandahåller sin egen nyckel via Azure Key Vault. Kryptering i vila är en layer 2-krypteringstjänst.
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och styra livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Obs! Om du använder Azure Key Vault med din Azure HDInsight-distribution testar du regelbundet återställning av säkerhetskopierade kundhanterade nycklar.
Referens: Dubbel kryptering i Azure HDInsight för vilande data
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Dubbel kryptering i Azure HDInsight för vilande data
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Använd Azure Policy-alias i namnområdet "Microsoft.HDInsight" för att skapa anpassade principer. Konfigurera principerna för att granska eller framtvinga nätverkskonfigurationen för ditt HDInsight-kluster.
Om du har en Rapid7-, Qualys- eller någon annan hantering av säkerhetsrisker plattformsprenumeration har du alternativ. Du kan använda skriptåtgärder för att installera agenter för sårbarhetsbedömning på dina Azure HDInsight-klusternoder och hantera noderna via respektive portal.
Med Azure HDInsight ESP kan du använda Apache Ranger för att skapa och hantera detaljerade åtkomstkontroll- och datafördunklingsprinciper. Du kan göra det för dina data som lagras i: Filer/mappar/databaser/tabeller/rader/kolumner.
Hadoop-administratören kan konfigurera Azure RBAC för att skydda Apache Hive, HBase, Kafka och Spark med hjälp av dessa plugin-program i Apache Ranger.
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: Inbyggda Azure Policy-definitioner för Azure HDInsight
AM-5: Använd endast godkända program på en virtuell dator
Funktioner
Microsoft Defender för molnet – Anpassningsbara programkontroller
Beskrivning: Tjänsten kan begränsa vilka kundprogram som körs på den virtuella datorn med hjälp av anpassningsbara programkontroller i Microsoft Defender för molnet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Azure HDInsight stöder inte defender internt, men den använder ClamAV. När du använder ESP för HDInsight kan du dessutom använda några av de Microsoft Defender för molnet inbyggda funktionerna för hotidentifiering. Du kan också aktivera Microsoft Defender för dina virtuella datorer som är associerade med HDInsight.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en log analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla PUT-, POST- och DELETE-åtgärder, men inte GET,-åtgärder för dina HDInsight-resurser förutom läsåtgärder (GET). Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare i organisationen har ändrat resurser.
Aktivera Azure-resursloggar för HDInsight. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.
HDInsight skapar även säkerhetsgranskningsloggar för de lokala administratörskontona. Aktivera dessa lokala administratörsgranskningsloggar.
Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Key Vault stöder till exempel ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller så har Azure SQL resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på Azure-tjänst och resurstyp.
Referens: Hantera loggar för ett HDInsight-kluster
Status- och sårbarhetshantering
Mer information finns i Microsofts prestandamått för molnsäkerhet: Hållning och hantering av säkerhetsrisker.
PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser
Funktioner
Azure Automation State Configuration
Beskrivning: Azure Automation State Configuration kan användas för att underhålla operativsystemets säkerhetskonfiguration. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure HDInsight-operativsystemavbildningar hanteras och underhålls av Microsoft. Kunden ansvarar dock för att implementera tillståndskonfiguration på operativsystemnivå för den avbildningen. Microsoft VM-mallar i kombination med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.
Konfigurationsvägledning: Använd Azure Automation State Configuration för att underhålla operativsystemets säkerhetskonfiguration.
Referens: Översikt över Azure Automation State Configuration
Gästkonfigurationsagent för Azure Policy
Beskrivning: Gästkonfigurationsagenten för Azure Policy kan installeras eller distribueras som ett tillägg till beräkningsresurser. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Förstå datorkonfigurationsfunktionen i Azure Automanage
Anpassade VM-avbildningar
Beskrivning: Tjänsten har stöd för användning av användardefinierade VM-avbildningar eller fördefinierade avbildningar från marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Avbildningar av anpassade containrar
Beskrivning: Tjänsten stöder användning av containeravbildningar som tillhandahålls av användaren eller fördefinierade avbildningar från Marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PV-5: Utföra sårbarhetsbedömningar
Funktioner
Sårbarhetsbedömning med Microsoft Defender
Beskrivning: Tjänsten kan genomsökas efter sårbarhetsgenomsökning med hjälp av Microsoft Defender för molnet eller andra inbäddade sårbarhetsbedömningsfunktioner i Microsoft Defender (inklusive Microsoft Defender för server, containerregister, App Service, SQL och DNS). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure HDInsight stöder inte Microsoft Defender för sårbarhetsbedömning internt, den använder ClamAV för skydd mot skadlig kod. Men när du använder ESP för HDInsight kan du använda några av de Microsoft Defender för molnet inbyggda funktionerna för hotidentifiering. Du kan också aktivera Microsoft Defender för dina virtuella datorer som är associerade med HDInsight.
Vidarebefordra alla loggar från HDInsight till din SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.
Konfigurationsvägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer, containeravbildningar och SQL-servrar.
Obs! Azure HDInsight stöder inte defender internt, utan använder ClamAV. Men när du använder ESP för HDInsight kan du använda några av de Microsoft Defender för molnet inbyggda funktionerna för hotidentifiering. Du kan också aktivera Microsoft Defender för dina virtuella datorer som är associerade med HDInsight.
Vidarebefordra alla loggar från HDInsight till din SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.
PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt
Funktioner
Azure Automation – Uppdateringshantering
Beskrivning: Tjänsten kan använda Azure Automation Update Management för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Delad |
Funktionsanteckningar: Ubuntu-avbildningar blir tillgängliga för att skapa nya Azure HDInsight-kluster inom tre månader efter publiceringen. Kluster som körs skickas inte automatiskt. Kunder måste använda skriptåtgärder eller andra mekanismer för att korrigera ett kluster som körs. Som bästa praxis kan du köra dessa skriptåtgärder och tillämpa säkerhetsuppdateringar direkt efter att klustret har skapats.
Konfigurationsvägledning: Använd Azure Automation Update Management eller en lösning från tredje part för att säkerställa att de senaste säkerhetsuppdateringarna är installerade på dina virtuella Windows- och Linux-datorer. För virtuella Windows-datorer kontrollerar du att Windows Update har aktiverats och är inställt på att uppdateras automatiskt.
Obs! Ubuntu-avbildningar blir tillgängliga för att skapa nya Azure HDInsight-kluster inom tre månader efter publiceringen. Kluster som körs skickas inte automatiskt. Kunder måste använda skriptåtgärder eller andra mekanismer för att korrigera ett kluster som körs. Som bästa praxis kan du köra dessa skriptåtgärder och tillämpa säkerhetsuppdateringar direkt efter att klustret har skapats.
Referens: Översikt över uppdateringshantering
Slutpunktssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Endpoint Security.
ES-1: Använd slutpunktsidentifiering och svar (EDR)
Funktioner
EDR-lösning
Beskrivning: Funktionen Slutpunktsidentifiering och svar (EDR), till exempel Azure Defender för servrar, kan distribueras till slutpunkten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure HDInsight stöder inte Microsoft Defender för Endpoint internt, den använder ClamAV för skydd mot skadlig kod.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Kan jag inaktivera Clamscan på mitt kluster?
ES-2: Använd modern programvara mot skadlig kod
Funktioner
Lösning mot skadlig kod
Beskrivning: Funktionen mot skadlig kod, till exempel Microsoft Defender Antivirus, Microsoft Defender för Endpoint kan distribueras på slutpunkten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure HDInsight använder ClamAV. Vidarebefordra ClamAV-loggarna till ett centraliserat SIEM eller annat identifierings- och aviseringssystem.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Säkerhet och certifikat
ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras
Funktioner
Hälsoövervakning av lösning mot skadlig kod
Beskrivning: Lösningen mot skadlig kod ger hälsostatusövervakning för uppdateringar av plattform, motor och automatiska signaturer. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure HDInsight levereras med Clamscan förinstallerat och aktiverat för klusternodavbildningarna. Clamscan utför motor- och definitionsuppdateringar automatiskt och uppdaterar sina signaturer för skadlig kod baserat på ClamAV:s officiella databas för virussignaturer.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Säkerhet och certifikat
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: HBase Export och HBase Replication är vanliga sätt att möjliggöra affärskontinuitet mellan HDInsight HBase-kluster.
HBase Export är en batchreplikeringsprocess som använder HBase Export Utility för att exportera tabeller från det primära HBase-klustret till dess underliggande Azure Data Lake Storage Gen 2-lagring. Exporterade data kan sedan nås från det sekundära HBase-klustret och importeras till tabeller som måste finnas i det sekundära. HBase Export erbjuder kornighet på tabellnivå, men i inkrementella uppdateringssituationer styr exportautomatiseringsmotorn intervallet för inkrementella rader som ska inkluderas i varje körning.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Konfigurera säkerhetskopiering och replikering för Apache HBase och Apache Phoenix i HDInsight
Nästa steg
- Se översikten över Microsoft Cloud Security Benchmark
- Läs mer om säkerhetsbaslinjer för Azure