Standardní hodnoty zabezpečení Azure pro HDInsight
Tyto standardní hodnoty zabezpečení aplikují na HDInsight pokyny z srovnávacího testu cloudového zabezpečení microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro HDInsight.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na HDInsight, byly vyloučeny. Pokud chcete zjistit, jak se HDInsight kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, projděte si úplný soubor mapování standardních hodnot zabezpečení HDInsight.
Profil zabezpečení
Profil zabezpečení shrnuje chování HDInsight s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | Analýzy |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Jen pro čtení |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Zabezpečení hraničních zařízení ve službě Azure HDInsight se dosahuje prostřednictvím virtuálních sítí. Podnikový správce může vytvořit cluster ve virtuální síti a pomocí skupiny zabezpečení sítě (NSG) omezit přístup k virtuální síti.
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte prostředku privátní IP adresy (je-li to možné).
Poznámka: Na základě vašich aplikací a strategie segmentace podniku omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních, dobře definovaných aplikací, jako jsou třívrstvé aplikace, to může být ve výchozím nastavení vysoce zabezpečené odepření.
Referenční informace: Plánování virtuální sítě pro Azure HDInsight
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Zabezpečení hraničních zařízení ve službě Azure HDInsight se dosahuje prostřednictvím virtuálních sítí. Podnikový správce může vytvořit cluster ve virtuální síti a pomocí skupiny zabezpečení sítě (NSG) omezit přístup k virtuální síti. S clusterem Azure HDInsight můžou komunikovat jenom povolené IP adresy v příchozích pravidlech NSG. Tato konfigurace poskytuje zabezpečení hraniční sítě. Všechny clustery nasazené ve virtuální síti budou mít také privátní koncový bod. Koncový bod se přeloží na privátní IP adresu uvnitř Virtual Network. Poskytuje privátní přístup HTTP k branám clusteru.
V závislosti na vašich aplikacích a strategii segmentace podniku omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních, dobře definovaných aplikací, jako jsou třívrstvé aplikace, to může být ve výchozím nastavení vysoce zabezpečené odepření.
Porty vyžadované obecně napříč všemi typy clusterů:
22–23– Přístup SSH k prostředkům clusteru
443 – Ambari, WebHCat REST API, HiveServer ODBC a JDBC
Pokyny ke konfiguraci: Skupiny zabezpečení sítě (NSG) slouží k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a nástrojů pro vyrovnávání zatížení Azure.
Referenční informace: Řízení síťového provozu ve službě Azure HDInsight
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Pomocí Azure Private Link povolte privátní přístup ke službě HDInsight z virtuálních sítí, aniž byste museli přecházet přes internet. Privátní přístup přidává hloubkovou ochranu k ověřování Azure a zabezpečení provozu.
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Poznámka: Pomocí Azure Private Link povolte privátní přístup ke službě HDInsight z virtuálních sítí, aniž byste museli přecházet přes internet. Privátní přístup přidává hloubkovou ochranu k ověřování Azure a zabezpečení provozu.
Referenční informace: Povolení Private Link v clusteru HDInsight
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidla filtrování seznamu ACL na úrovni služby nebo přepínače pro veřejný síťový přístup.
Referenční informace: Omezení veřejného připojení ve službě Azure HDInsight
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte Azure Active Directory (Azure AD) jako výchozí metodu ověřování k řízení přístupu k rovině dat.
Referenční informace: Přehled podnikového zabezpečení ve službě Azure HDInsight
Metody místního ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Při vytvoření clusteru HDI se v rovině dat vytvoří dva účty místního správce (Apache Ambari). Jeden odpovídající uživateli, kterému autor clusteru předává přihlašovací údaje. Druhý je vytvořen řídicí rovinou HDI. Řídicí rovina HDI používá tento účet k volání roviny dat. Vyhněte se používání místních metod ověřování nebo účtů. Všude, kde je to možné, by se měly zakázat. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných uživatelů nebo uživatelů s oprávněními pro správu
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Při vytvoření clusteru HDI se v rovině dat vytvoří dva účty místního správce (Apache Ambari). Jeden odpovídající uživateli, kterému autor clusteru předává přihlašovací údaje. Druhý je vytvořen řídicí rovinou HDI. Řídicí rovina HDI používá tento účet k volání roviny dat. Vyhněte se používání místních metod ověřování nebo účtů. Všude, kde je to možné, by se měly zakázat. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Rovina dat podporuje pouze role založené na Ambari. Jemně odstupňovaný seznam ACL se provádí přes Ranger.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Ve scénářích podpory, kdy Microsoft potřebuje přístup k datům zákazníků, podporuje HDInsight Customer Lockbox. Poskytuje rozhraní pro kontrolu žádostí o přístup k datům zákazníků a jejich schválení nebo odmítnutí.
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí každé žádosti Microsoftu o přístup k datům.
Referenční informace: Customer Lockbox pro Microsoft Azure
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Pomocí značek u prostředků souvisejících s nasazeními Azure HDInsight můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace. Klasifikovat a identifikovat citlivá data pomocí Microsoft Purview. Tuto službu použijte pro všechna data uložená v databázích SQL nebo účtech Azure Storage přidružených ke clusteru HDInsight.
U podkladové platformy, kterou spravuje Microsoft, Microsoft považuje veškerý obsah zákazníků za citlivý. Microsoft se snaží chránit před ztrátou a odhalením zákaznických dat. Aby se zajistilo, že zákaznická data v Rámci Azure zůstanou zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.
Pokyny ke konfiguraci: Pomocí nástrojů, jako jsou Azure Purview, Azure Information Protection a Azure SQL Data Discovery and Classification, můžete centrálně kontrolovat, klasifikovat a označovat všechna citlivá data, která se nacházejí v Azure, místním prostředí, Microsoftu 365 nebo na jiných místech.
Referenční informace: Ochrana dat zákazníků Azure
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Poznámky k funkcím: HDInsight podporuje šifrování dat při přenosu s protokolem TLS verze 1.2 nebo novějším. Zašifrujte všechny citlivé informace při přenosu. Ujistěte se, že klienti, kteří se připojují k clusteru Nebo úložišti dat clusteru Azure HDInsight (účty Azure Storage nebo Azure Data Lake Storage Gen1/Gen2), můžou vyjednat protokol TLS 1.2 nebo vyšší. Prostředky Microsoft Azure budou ve výchozím nastavení vyjednávat protokol TLS 1.2.
Pro doplnění řízení přístupu chraňte přenášená data před "mimosměrovými" útoky, jako je zachycení provozu. Šifrováním zajistíte, že útočníci nebudou moct snadno číst nebo upravovat data.
Pro vzdálenou správu použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows). Zastaralé verze a protokoly SSL, TLS, SSH a slabé šifry by měly být zakázané.
Pokyny ke konfiguraci: Povolte zabezpečený přenos ve službách, kde je integrovaná funkce nativního šifrování přenášených dat. Vynucujte https u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0 nebo TLS v1.0, by měly být zakázané. Pro vzdálenou správu Virtual Machines použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows).
Poznámka: HDInsight podporuje šifrování dat při přenosu s protokolem TLS verze 1.2 nebo novějším. Zašifrujte všechny citlivé informace při přenosu. Ujistěte se, že klienti, kteří se připojují k clusteru Nebo úložišti dat clusteru Azure HDInsight (účty Azure Storage nebo Azure Data Lake Storage Gen1/Gen2), můžou vyjednat protokol TLS 1.2 nebo vyšší. Prostředky Microsoft Azure budou ve výchozím nastavení vyjednávat protokol TLS 1.2.
Pro doplnění řízení přístupu chraňte přenášená data před "mimosměrovými" útoky, jako je zachycení provozu. Šifrováním zajistíte, že útočníci nebudou moct snadno číst nebo upravovat data.
Pro vzdálenou správu použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows). Zastaralé verze a protokoly SSL, TLS, SSH a slabé šifry by měly být zakázané.
Azure ve výchozím nastavení poskytuje šifrování dat přenášených mezi datovými centry Azure.
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Poznámky k funkcím: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte službu Azure SQL Database, zajistěte, aby data SQL zůstala vždy zašifrovaná. V případě účtů Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje povolit microsoftu správu šifrovacích klíčů, ale můžete spravovat vlastní klíče.
HDInsight podporuje několik typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. Ve službě HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je povolená. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako u SSE provádí tento typ šifrování služba úložiště. Je ale jenom pro dočasné disky a ve výchozím nastavení není povolený. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování je možné použít u dat a dočasných disků. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Pokyny ke konfiguraci: Povolte šifrování neaktivních uložených dat pomocí klíčů spravovaných platformou (spravovaných Microsoftem), které služba nenakonfiguruje automaticky.
Poznámka: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte službu Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. V případě účtů Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje povolit microsoftu správu šifrovacích klíčů, ale můžete spravovat vlastní klíče.
HDInsight podporuje několik typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. Ve službě HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je povolená. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako u SSE provádí tento typ šifrování služba úložiště. Je ale jenom pro dočasné disky a ve výchozím nastavení není povolený. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování je možné použít u dat a dočasných disků. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Referenční informace: Dvojité šifrování neaktivních uložených dat ve službě Azure HDInsight
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Poznámky k funkcím: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte službu Azure SQL Database, zajistěte, aby data SQL zůstala vždy zašifrovaná. V případě účtů Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje povolit microsoftu správu šifrovacích klíčů, ale můžete spravovat vlastní klíče.
HDInsight podporuje několik typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. Ve službě HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je povolená. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako u SSE provádí tento typ šifrování služba úložiště. Je ale jenom pro dočasné disky a ve výchozím nastavení není povolený. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování je možné použít u dat a dočasných disků. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Poznámka: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte službu Azure SQL Database, ujistěte se, že data SQL zůstanou vždy zašifrovaná. V případě účtů Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje povolit microsoftu správu šifrovacích klíčů, ale můžete spravovat vlastní klíče.
HDInsight podporuje několik typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. Ve službě HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je povolená. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako u SSE provádí tento typ šifrování služba úložiště. Je ale jenom pro dočasné disky a ve výchozím nastavení není povolený. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování je možné použít u dat a dočasných disků. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Referenční informace: Dvojité šifrování neaktivních uložených dat ve službě Azure HDInsight
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Poznámky k funkcím: Pokud k ukládání metadat Apache Hive a Apache Oozie používáte službu Azure SQL Database, zajistěte, aby data SQL zůstala vždy zašifrovaná. V případě účtů Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje povolit microsoftu správu šifrovacích klíčů, ale můžete spravovat vlastní klíče.
HDInsight podporuje několik typů šifrování ve dvou různých vrstvách:
Šifrování na straně serveru (SSE) – SSE provádí služba úložiště. Ve službě HDInsight se SSE používá k šifrování disků operačního systému a datových disků. Ve výchozím nastavení je povolená. SSE je šifrovací služba vrstvy 1.
Šifrování na hostiteli pomocí klíče spravovaného platformou – Podobně jako u SSE provádí tento typ šifrování služba úložiště. Je ale jenom pro dočasné disky a ve výchozím nastavení není povolený. Šifrování na hostiteli je také šifrovací služba vrstvy 1.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem – Tento typ šifrování je možné použít u dat a dočasných disků. Ve výchozím nastavení není povolená a vyžaduje, aby zákazník zadal vlastní klíč prostřednictvím služby Azure Key Vault. Šifrování neaktivních uložených dat je šifrovací služba vrstvy 2.
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě klíčového vyřazení nebo ohrožení zabezpečení. Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že postupujete podle osvědčených postupů pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve svém trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud do služby potřebujete přenést vlastní klíč (BYOK) (například importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční vygenerování a přenos klíče.
Poznámka: Pokud s nasazením Azure HDInsight používáte Azure Key Vault, pravidelně testujte obnovení zálohovaných klíčů spravovaných zákazníkem.
Referenční informace: Dvojité šifrování neaktivních uložených dat ve službě Azure HDInsight
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Dvojité šifrování neaktivních uložených dat v Azure HDInsight
Správa aktiv
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
AM-2: Používejte jenom schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: K vytváření vlastních zásad použijte aliasy Azure Policy v oboru názvů Microsoft.HDInsight. Nakonfigurujte zásady pro audit nebo vynucení síťové konfigurace clusteru HDInsight.
Pokud máte předplatné rapid7, Qualys nebo jiné platformy pro správu ohrožení zabezpečení, máte k dispozici možnosti. Akce skriptu můžete použít k instalaci agentů posouzení ohrožení zabezpečení na uzly clusteru Azure HDInsight a ke správě uzlů prostřednictvím příslušného portálu.
Se službou Azure HDInsight ESP můžete pomocí Apache Rangeru vytvářet a spravovat podrobné zásady řízení přístupu a obfuskace dat. Můžete to udělat pro data uložená v: Soubory/ Složky / Databáze / Tabulky / Řádky / Sloupce.
Správce Hadoopu může nakonfigurovat Azure RBAC pro zabezpečení Apache Hivu, HBase, Kafka a Sparku pomocí těchto modulů plug-in v Apache Rangeru.
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor slouží k vytváření upozornění, když se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Azure Policy předdefinovaných definic pro Azure HDInsight
AM-5: Ve virtuálním počítači používejte jenom schválené aplikace.
Funkce
Microsoft Defender pro cloud – adaptivní řízení aplikací
Popis: Služba může omezit, jaké aplikace zákazníka běží na virtuálním počítači pomocí adaptivního řízení aplikací v Microsoft Defender pro cloud. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Azure HDInsight nativně nepodporuje defender; Používá však ClamAV. Kromě toho můžete při použití ESP pro HDInsight použít některou z integrovaných funkcí detekce hrozeb Microsoft Defender pro cloud. Můžete také povolit Microsoft Defender pro virtuální počítače přidružené ke službě HDInsight.
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Protokolování a detekce hrozeb
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne OPERACE GET pro prostředky HDInsight s výjimkou operací čtení (GET). Protokoly aktivit můžete použít ke zjištění chyb při řešení potíží nebo ke sledování toho, jak uživatelé ve vaší organizaci upravili prostředky.
Povolte protokoly prostředků Azure pro HDInsight. Pomocí Microsoft Defender pro cloud a Azure Policy můžete povolit shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.
HDInsight také vytváří protokoly auditu zabezpečení pro účty místní správy. Povolte tyto protokoly auditu místního správce.
Pokyny ke konfiguraci: Povolte pro službu protokoly prostředků. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajný kód z trezoru klíčů, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Správa protokolů pro cluster HDInsight
Správa stavu a ohrožení zabezpečení
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Stav a správa ohrožení zabezpečení.
PV-3: Definování a vytvoření zabezpečených konfigurací pro výpočetní prostředky
Funkce
Služba Azure Automation State Configuration
Popis: Azure Automation State Configuration lze použít k udržování konfigurace zabezpečení operačního systému. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Image operačního systému Azure HDInsight spravuje a udržuje Microsoft. Zákazník je ale zodpovědný za implementaci konfigurace stavu na úrovni operačního systému pro danou image. Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation State Configuration vám můžou pomoct splnit a udržovat požadavky na zabezpečení.
Pokyny ke konfiguraci: Pomocí Azure Automation State Configuration udržujte konfiguraci zabezpečení operačního systému.
Referenční informace: přehled Azure Automation State Configuration
Azure Policy agenta konfigurace hosta
Popis: Azure Policy agenta konfigurace hosta je možné nainstalovat nebo nasadit jako rozšíření výpočetních prostředků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Microsoft v současné době neobsahuje žádné pokyny ke konfiguraci této funkce. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Vysvětlení funkce konfigurace počítače ve službě Azure Automanage
Vlastní image virtuálních počítačů
Popis: Služba podporuje použití uživatelem zadaných imagí virtuálních počítačů nebo předem sestavených imagí z marketplace s předem použitými konfiguracemi základních hodnot. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Image vlastních kontejnerů
Popis: Služba podporuje použití uživatelem zadaných imagí kontejnerů nebo předem sestavených imagí z marketplace s předem použitými konfiguracemi základních hodnot. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
PV-5: Provedení posouzení ohrožení zabezpečení
Funkce
Posouzení ohrožení zabezpečení s využitím Microsoft Defender
Popis: Službu je možné zkontrolovat z hlediska ohrožení zabezpečení pomocí Microsoft Defender for Cloud nebo jiné integrované funkce posouzení ohrožení zabezpečení služby Microsoft Defender Services (včetně Microsoft Defender pro server, registr kontejneru, App Service, SQL a DNS). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure HDInsight nativně nepodporuje Microsoft Defender pro posouzení ohrožení zabezpečení, k ochraně proti malwaru používá ClamAV. Pokud ale používáte ESP pro HDInsight, můžete použít některé integrované funkce detekce hrozeb Microsoft Defender pro cloud. Můžete také povolit Microsoft Defender pro virtuální počítače přidružené ke službě HDInsight.
Všechny protokoly ze služby HDInsight můžete předávat do systému SIEM, který můžete použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure z hlediska potenciálních hrozeb a anomálií. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili počet falešně pozitivních výsledků pro analytiky. Zdrojem upozornění můžou být data protokolu, agenti nebo jiná data.
Pokyny ke konfiguraci: Postupujte podle doporučení z Microsoft Defender pro cloud, abyste na virtuálních počítačích Azure, imagích kontejnerů a sql serverech provedli posouzení ohrožení zabezpečení.
Poznámka: Azure HDInsight nepodporuje defender nativně, ale používá ClamAV. Pokud ale používáte ESP pro HDInsight, můžete použít některé integrované funkce detekce hrozeb Microsoft Defender pro cloud. Můžete také povolit Microsoft Defender pro virtuální počítače přidružené ke službě HDInsight.
Všechny protokoly ze služby HDInsight můžete předávat do systému SIEM, který můžete použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure z hlediska potenciálních hrozeb a anomálií. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili počet falešně pozitivních výsledků pro analytiky. Zdrojem upozornění můžou být data protokolu, agenti nebo jiná data.
PV-6: Rychlá a automatická náprava ohrožení zabezpečení
Funkce
Azure Automation – Update Management
Popis: Služba může používat Azure Automation Update Management k automatickému nasazení oprav a aktualizací. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Poznámky k funkcím: Image Ubuntu budou k dispozici pro vytvoření nového clusteru Azure HDInsight do tří měsíců od publikování. Spuštěné clustery nejsou automaticky opravovány. Zákazníci musí k opravě spuštěného clusteru použít akce skriptů nebo jiné mechanismy. Osvědčeným postupem je spustit tyto akce skriptů a použít aktualizace zabezpečení hned po vytvoření clusteru.
Pokyny ke konfiguraci: Pomocí řešení Azure Automation Update Management nebo řešení třetí strany zajistěte, aby se na virtuální počítače s Windows a Linuxem nainstalovaly nejnovější aktualizace zabezpečení. U virtuálních počítačů s Windows se ujistěte, že je služba Windows Update povolená a nastavená na automatickou aktualizaci.
Poznámka: Image Ubuntu budou k dispozici pro vytvoření nového clusteru Azure HDInsight do tří měsíců od publikování. Spuštěné clustery nejsou automaticky opravovány. Zákazníci musí k opravě spuštěného clusteru použít akce skriptů nebo jiné mechanismy. Osvědčeným postupem je spustit tyto akce skriptů a použít aktualizace zabezpečení hned po vytvoření clusteru.
Referenční informace: Přehled řešení Update Management
Zabezpečení koncového bodu
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Zabezpečení koncových bodů.
ES-1: Použití detekce a odezvy koncových bodů (EDR)
Funkce
Řešení EDR
Popis: Do koncového bodu je možné nasadit funkci detekce a odezvy koncových bodů (EDR), jako je Azure Defender pro servery. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure HDInsight nativně nepodporuje Microsoft Defender for Endpoint, k ochraně proti malwaru používá ClamAV.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Můžu v clusteru zakázat Clamscan ?
ES-2: Použití moderního antimalwarového softwaru
Funkce
Antimalwarové řešení
Popis: Antimalwarová funkce, jako je Microsoft Defender Antivirus, Microsoft Defender for Endpoint je možné nasadit na koncový bod. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure HDInsight používá ClamAV. Předáte protokoly ClamAV centralizovanému systému SIEM nebo jinému systému detekce a upozornění.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Zabezpečení a certifikáty
ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů
Funkce
Monitorování stavu antimalwarového řešení
Popis: Antimalwarové řešení poskytuje monitorování stavu pro aktualizace platformy, modulu a automatických podpisů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure HDInsight se dodává s předinstalovaným nástrojem Clamscan a povoleným pro image uzlů clusteru. Clamscan automaticky provede aktualizace modulů a definic a aktualizuje své antimalwarové signatury na základě oficiální databáze signatur virů ClamAV.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Zabezpečení a certifikáty
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Export HBase a replikace HBase jsou běžné způsoby, jak povolit provozní kontinuitu mezi clustery HDInsight HBase.
Export HBase je proces dávkové replikace, který pomocí nástroje pro export HBase exportuje tabulky z primárního clusteru HBase do jeho základního úložiště Azure Data Lake Storage Gen2. K exportovaným datům je pak možné přistupovat ze sekundárního clusteru HBase a importovat je do tabulek, které musí existovat v sekundárním clusteru. Zatímco export HBase nabízí členitost na úrovni tabulky, v situacích s přírůstkovou aktualizací řídí modul automatizace exportu rozsah přírůstkových řádků, které se mají zahrnout do každého spuštění.
Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Nastavení zálohování a replikace pro Apache HBase a Apache Phoenix ve službě HDInsight
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure