Standardní hodnoty zabezpečení Azure pro HDInsight

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 do HDInsight. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro HDInsight.

Pokud má funkce relevantní definice Azure Policy, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na HDInsight a ty, pro které se doporučuje globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak HDInsight kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení HDInsight.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Hraniční zabezpečení ve službě Azure HDInsight se dosahuje prostřednictvím virtuálních sítí. Podnikový správce může vytvořit cluster ve virtuální síti a pomocí skupiny zabezpečení sítě (NSG) omezit přístup k virtuální síti. S clusterem Azure HDInsight můžou komunikovat jenom povolené IP adresy v příchozích pravidlech NSG. Tato konfigurace poskytuje zabezpečení hraniční sítě. Všechny clustery nasazené ve virtuální síti budou mít také privátní koncový bod. Koncový bod se přeloží na privátní IP adresu uvnitř Virtual Network. Poskytuje privátní přístup HTTP k branám clusteru.

Na základě strategie segmentace aplikací a podnikových segmentací omezte nebo povolte provoz mezi interními prostředky na základě pravidel skupiny zabezpečení sítě. U konkrétních dobře definovaných aplikací, jako je třívrstvé aplikace, může to být ve výchozím nastavení vysoce zabezpečený odepření.

Porty vyžadované obecně napříč všemi typy clusterů:

  • 22–23 – Přístup SSH k prostředkům clusteru

  • 443 – Ambari, Rozhraní REST API WebHCat, Rozhraní ODBC HiveServeru a JDBC

Konkrétní typy clusterů a další podrobnosti najdete v tomto článku.

Privátní clustery HDInsight můžete vytvořit konfigurací konkrétních vlastností sítě v šabloně Azure Resource Manager (ARM). Existují dvě vlastnosti, které použijete k vytvoření privátních clusterů HDInsight:

  • Odeberte veřejné IP adresy nastavením připojení poskytovatele prostředků k odchozímu připojení.

  • Povolte Azure Private Link a používejte privátní koncové body nastavením privateLink na povolenou.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Použití Azure Private Link k povolení privátního přístupu ke službě HDInsight z vašich virtuálních sítí bez přechodu na internet. Privátní přístup přidává do ověřování a zabezpečení provozu Azure podrobnou míru ochrany.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana prostředků HDInsight před útoky z externích sítí Útoky můžou zahrnovat:

  • Útoky DDoS (Distributed Denial of Service)

  • Útoky specifické pro aplikaci

  • Nevyžádaný a potenciálně škodlivý internetový provoz

Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte prostředky před útoky DDoS tím, že ve virtuálních sítích Azure povolíte službu DDoS Protection Standard. Pomocí programu Microsoft Defender for Cloud můžete zjistit rizika chybná konfigurace v prostředcích souvisejících se sítí.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti pro prostředky HDInsight v NSG nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadejte název značky služby, jako je HDInsight, v příslušném zdrojovém nebo cílovém poli pravidla, aby bylo možné povolit nebo odepřít provoz pro službu. Microsoft spravuje předpony adres, které značka služby zahrnuje, a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Při zmírnění běžných útoků postupujte podle osvědčených postupů pro zabezpečení DNS, například:

  • Dangling DNS

  • Útoky na amplifikace DNS

  • Otrava a falšování identity DNS

Pokud jako službu DNS používáte Azure DNS, nezapomeňte chránit zóny a záznamy DNS před náhodnými nebo škodlivými změnami pomocí Azure Role-Based Access Control (RBAC) a zámků prostředků.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: HDInsight používá Azure AD jako výchozí službu správy identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Prostředky Microsoft Cloud. Mezi zdroje patří:

    • Azure Portal

    • Azure Storage

    • Virtuální počítače Azure s Linuxem a Windows

    • Azure Key Vault

    • Platforma jako služba (u PaaS)

    • Aplikace SaaS (Software jako služba)

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení identity s doporučeními microsoftu k osvědčeným postupům. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Nakonfigurujte clustery Azure HDInsight s balíčkem zabezpečení podniku (ESP). Tyto clustery můžete připojit k doméně, aby uživatelé mohli pomocí svých přihlašovacích údajů k doméně ověřit clustery. Pro správu prostředků služby HDInsight jsou k dispozici tři hlavní předdefinované role Azure RBAC:

  • Čtenář: Přístup ke čtení k prostředkům HDInsight, včetně tajných kódů

  • Operátor clusteru HDInsight: Přístup ke čtení a zápisu k prostředkům HDInsight, včetně tajných kódů

  • Přispěvatel: Přístup ke čtení a zápisu včetně tajných kódů a schopnost provádět akce skriptu

Pro zabezpečení na úrovni řádků je možné Apache Ranger implementovat pro nastavení zásad řízení přístupu pro Hive.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: HDInsight podporuje spravované identity pro své prostředky Azure. Používejte spravované identity se službou HDInsight místo vytváření instančních objektů pro přístup k jiným prostředkům. HDInsight se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Ověřování se podporuje prostřednictvím předem definovaného pravidla udělení přístupu. Nepoužívá přihlašovací údaje pevně zakódované ve zdrojových nebo konfiguračních souborech.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Použití zprostředkovatele ID Azure HDInsight k přihlášení ke clusterům ESP pomocí vícefaktorového ověřování bez zadání hesel Pokud jste se už přihlásili k jiným službám Azure, jako je Azure Portal, můžete se přihlásit ke clusteru Azure HDInsight pomocí jednotného přihlašování.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Pokud používáte jakýkoli kód související s nasazením Azure HDInsight, můžete implementovat skener přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete pomocí nativní funkce kontroly tajných kódů identifikovat přihlašovací údaje nebo jiné formy tajných kódů v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role Azure AD jsou globální správce a správce privilegovaných rolí. Uživatelé s těmito dvěma rolemi můžou delegovat role správce.

  • Globální správce nebo správce společnosti má přístup ke všem funkcím správy Azure AD a službám, které používají Azure AD identity.

  • Správce privilegovaných rolí může spravovat přiřazení rolí v Azure AD a Azure AD Privileged Identity Management (PIM). Tato role může spravovat všechny aspekty PIM a jednotek pro správu.

Použijte prostředí HDInsight ESP, které má následující privilegované role:

  • Správce clusteru

  • Operátor clusteru

  • Správce služeb

  • Operátor služby

  • Uživatel clusteru

Vytvořte standardní provozní postupy týkající se použití vyhrazených účtů pro správu. Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte tyto účty na vyšší úrovni. Vysoce privilegovaní uživatelé můžou přímo nebo nepřímo číst a upravovat všechny vaše prostředky Azure.

Pomocí Azure AD PIM můžete povolit privilegovaný přístup k prostředkům Azure za běhu (JIT) a Azure AD. JIT uděluje dočasná oprávnění k privilegovaným úkolům pouze v případě, že ji uživatelé potřebují. PIM může také generovat výstrahy zabezpečení pro podezřelou nebo nebezpečnou aktivitu ve vaší Azure AD organizaci.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: HDInsight používá ke správě svých prostředků účty Azure AD. Pravidelně zkontrolujte uživatelské účty a přiřazení přístupu, abyste měli jistotu, že účty a jejich přístup jsou platné. Pomocí Azure AD a kontrol přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Pracovní postupy sestavy kontroly přístupu můžete také vytvořit v Azure AD PIM a usnadnit tak proces kontroly.

Můžete nakonfigurovat Azure AD PIM tak, aby vás upozorňoval, když existuje příliš mnoho účtů správce. PIM může identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb. Používejte vysoce zabezpečené uživatelské pracovní stanice a Azure Bastion pro úlohy správy související se správou prostředků HDInsight.

Pomocí Azure AD, programu Microsoft Defender ATP nebo Microsoft Intune nasaďte zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy. Zabezpečené pracovní stanice můžete centrálně spravovat a vynucovat konfiguraci zabezpečení, která zahrnuje:

  • Silné ověřování

  • Standardní hodnoty softwaru a hardwaru

  • Omezený logický přístup a přístup k síti

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

PA-7: Dodržujte zásadu nejnižších oprávnění pouze dostatečné správy.

Pokyny: HDInsight se integruje s Azure RBAC pro správu svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předem definované předdefinované předdefinované role. Tyto role můžete inventarizační nebo dotazovat pomocí nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal.

Omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup JIT Azure AD PIM. Pravidelně zkontrolujte role a přiřazení.

K udělení oprávnění použijte předdefinované role a v případě potřeby vytvořte jenom vlastní role. HDInsight používá Apache Ranger, který umožňuje podrobnější kontrolu nad oprávněními.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k zákaznickým datům, podporuje HDInsight Customer Lockbox. Poskytuje rozhraní pro kontrolu žádostí o přístup k datům zákazníků a jejich schválení nebo odmítnutí.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Použití značek u prostředků souvisejících s nasazeními Azure HDInsight vám pomůže sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace. Klasifikovat a identifikovat citlivá data pomocí Microsoft Purview Použijte službu pro všechna data uložená v databázích SQL nebo účtech Azure Storage přidružených k vašemu clusteru HDInsight.

Pro podkladovou platformu, kterou Spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý. Microsoft má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

DP-2: Ochrana citlivých dat

Pokyny: Implementace samostatných předplatných a skupin pro správu pro vývoj, testování a produkci Clustery Azure HDInsight a všechny přidružené účty úložiště byste měli oddělit podle virtuální sítě nebo podsítě, odpovídajícím způsobem je označit a zabezpečit je v rámci skupiny zabezpečení sítě nebo Azure Firewall. Obsahují data clusteru v rámci zabezpečeného účtu služby Azure Storage nebo Azure Data Lake Storage (Gen1 nebo Gen2).

Odpovědnost: Zákazník

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: U clusterů Azure HDInsight, které ukládají nebo zpracovávají citlivé informace, označte cluster a související prostředky jako citlivé pomocí značek. Pokud chcete snížit riziko ztráty dat prostřednictvím exfiltrace, omezte odchozí síťový provoz pro clustery Azure HDInsight pomocí Azure Firewall.

HDInsight nepodporuje automatické monitorování pro neoprávněný přenos citlivých dat nativně.

Pro podkladovou platformu, kterou Spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý. Microsoft má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

DP-4: Šifrování citlivých informací při přenosu

Pokyny: HDInsight podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo vyšší. Zašifrujte všechny citlivé informace při přenosu. Ujistěte se, že všechny klienty, kteří se připojují k clusteru Azure HDInsight nebo úložišti dat clusteru (účty Azure Storage nebo Azure Data Lake Storage Gen1/Gen2), můžou vyjednat protokol TLS 1.2 nebo vyšší. Prostředky Microsoft Azure ve výchozím nastavení vyjednávají protokol TLS 1.2.

Pokud chcete doplnit řízení přístupu, chraňte data přenášená před útoky mimo pásmo, jako je zachytávání provozu. Pomocí šifrování se ujistěte, že útočníci nemohou snadno číst ani upravovat data.

Pro vzdálenou správu použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. Zastaralé protokoly SSL, TLS, SSH verze a protokoly a slabé šifry by měly být zakázané.

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud používáte Azure SQL Database k ukládání metadat Apache Hive a Apache Oozie, ujistěte se, že data SQL zůstanou vždy zašifrovaná. U účtů Azure Storage a Data Lake Storage (Gen1 nebo Gen2) se doporučuje microsoftu povolit správu šifrovacích klíčů, ale můžete spravovat vlastní klíče.

HDInsight podporuje více typů šifrování ve dvou různých vrstvách:

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že v tenantovi a předplatných Azure udělíte oprávnění čtenáře zabezpečení týmů zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být zodpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na způsobu strukturování odpovědností. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít široce pro kořenovou skupinu pro správu celého tenanta nebo oprávnění oboru pro konkrétní skupiny pro správu nebo předplatná.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je HDInsight. Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. Přiřaďte jim přístup pro čtení ke všem prostředkům HDInsight. Tento proces můžete zjednodušit pomocí jediného přiřazení role vysoké úrovně v rámci vašeho předplatného.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. K dotazování a zjišťování prostředků v rámci předplatných použijte Azure Resource Graph. Azure Monitor můžete použít také k vytvoření pravidel pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

AM-6: Použití jenom schválených aplikací ve výpočetních prostředcích

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků, jako jsou výpočetní prostředky, úložiště, síť, porty, protokoly atd., včetně clusterů Azure HDInsight v rámci vašich předplatných. Odeberte všechny neschválené prostředky Azure, které zjistíte. V případě uzlů clusteru Azure HDInsight implementujte řešení třetí strany, které odebere nebo upozorní na neschválený software.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Azure HDInsight nativně nepodporuje defender, používá ClamAV. Pokud ale používáte ESP pro HDInsight, můžete použít některou z integrovaných funkcí detekce hrozeb v programu Microsoft Defender pro cloud. Můžete také povolit Microsoft Defender pro vaše virtuální počítače přidružené ke službě HDInsight.

Přeposílejte všechny protokoly ze služby HDInsight na siEM, které je možné použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojové z dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Použijte Microsoft Defender pro cloud a opravte doporučení ochrany sítě pro virtuální síť, podsíť a skupinu zabezpečení sítě používanou k zabezpečení clusteru Azure HDInsight. Povolte protokoly toku NSG a odesílejte protokoly do účtu služby Azure Storage pro podporu auditů provozu. Protokoly toku NSG můžete také posílat do pracovního prostoru Azure Log Analytics a používat Azure Traffic Analytics k poskytování přehledů o toku provozu ve vašem cloudu Azure. Mezi výhody, které poskytuje Azure Traffic Analytics, patří:

  • Vizualizace síťové aktivity a identifikace horkých míst

  • Identifikujte bezpečnostní hrozby.

  • Principy vzorů toku provozu

  • Určení chybná konfigurace sítě

HDInsight protokoluje veškerý síťový provoz, který zpracovává pro přístup zákazníků. Povolte možnost toku sítě v rámci nasazených nabízených prostředků.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne GET, pro vaše prostředky HDInsight kromě operací čtení (GET). Protokoly aktivit můžete použít k vyhledání chyb při řešení potíží nebo k monitorování způsobu, jakým uživatelé ve vaší organizaci upravili prostředky.

Povolte protokoly prostředků Azure pro HDInsight. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

HDInsight také vytváří protokoly auditu zabezpečení pro místní účty pro správu. Povolte tyto protokoly auditu místního správce.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizace úložiště protokolování pro prostředky HDInsight pro účely analýzy Pro každý zdroj protokolů se ujistěte, že máte:

  • Přiřazený vlastník dat

  • Pokyny k přístupu

  • Umístění úložiště

  • Nástroje, které používáte ke zpracování a přístupu k datům

  • Požadavky na uchovávání dat

Nezapomeňte integrovat protokoly aktivit Azure do centrálního protokolování.

Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení, která generují zařízení koncových bodů, síťové prostředky a další systémy zabezpečení. Ve službě Azure Monitor můžete k dotazování a analýze použít pracovní prostory Log Analytics.

Účty Azure Storage používejte pro dlouhodobé a archivní úložiště.

Povolte a připojte data do Microsoft Sentinelu nebo siem jiného výrobce. Mnoho organizací používá Microsoft Sentinel pro "horká" data, která často používají, a Azure Storage pro "studená" data, která používají méně často.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics, které používáte k ukládání protokolů HDInsight, mají nastavené doby uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro většinu služeb PaaS a SaaS platformy Azure. Pro vaše virtuální počítače použijte pro synchronizaci času výchozí server protokolu NTP (Network Time Protocol) Od Microsoftu, pokud nemáte konkrétní požadavek. Pokud potřebujete vystát svůj vlastní server NTP, ujistěte se, že jste zabezpečili port služby UDP 123. Všechny protokoly vygenerované prostředky v Rámci Azure poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.

Odpovědnost: Sdílené

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: K vytvoření vlastních zásad použijte aliasy Azure Policy v oboru názvů Microsoft.HDInsight. Nakonfigurujte zásady pro auditování nebo vynucování síťové konfigurace clusteru HDInsight.

Pokud máte předplatné platformy Pro správu rychlých chyb zabezpečení, Qualys nebo jiné předplatné platformy pro správu ohrožení zabezpečení, máte k dispozici možnosti. Pomocí akcí skriptu můžete nainstalovat agenty posouzení ohrožení zabezpečení na uzly clusteru Azure HDInsight a spravovat uzly prostřednictvím příslušného portálu.

Pomocí Azure HDInsight ESP můžete pomocí Apache Rangeru vytvářet a spravovat jemně odstupňované zásady řízení přístupu a obfuskace dat. Můžete to udělat pro svá data uložená v:

  • Soubory

  • Složky

  • Databáze

  • Tabulky

  • Řádky

  • Sloupce

Správce Hadoopu může azure RBAC nakonfigurovat pro zabezpečení Apache Hive, HBase, Kafka a Sparku pomocí těchto modulů plug-in v Apache Rangeru.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečená nastavení pro clustery Azure HDInsight a související prostředky.

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Image Ubuntu budou k dispozici pro nové vytváření clusteru Azure HDInsight během tří měsíců od publikování. Spuštěné clustery se nepatchují automaticky. Zákazníci musí k opravě spuštěného clusteru použít akce skriptu nebo jiné mechanismy. Osvědčeným postupem je spustit tyto akce skriptu a hned po vytvoření clusteru použít aktualizace zabezpečení.

Použijte Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Image operačního systému Azure HDInsight spravované a spravované Microsoftem. Zodpovídáte ale za implementaci konfigurace stavu na úrovni operačního systému pro danou image.

Využijte Microsoft Defender pro cloud a Azure Policy k pravidelnému posouzení a nápravě rizik konfigurace u výpočetních prostředků Azure, včetně virtuálních počítačů a kontejnerů. Tyto prostředky můžete použít také k údržbě konfigurace zabezpečení operačního systému, kterou vaše organizace vyžaduje:

  • Šablony Azure Resource Manager (ARM)

  • Vlastní image operačního systému

  • konfigurace stavu Azure Automation.

Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation State Configuration můžou pomoct splňovat a udržovat požadavky na zabezpečení.

Odpovědnost: Sdílené

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: HDInsight umožňuje zákazníkům spravovat image operačního systému nebo image kontejnerů. Pomocí Azure RBAC se ujistěte, že k vašim vlastním imagím mají přístup jenom autorizovaní uživatelé. Pomocí azure Shared Image Gallery můžete sdílet image různým uživatelům, instančním objektům nebo skupinám Azure AD ve vaší organizaci. Ukládejte image kontejnerů v Azure Container Registry a pomocí Azure RBAC zajistěte, aby k nim měli přístup jenom autorizovaní uživatelé.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: HDInsight může použít řešení třetích stran k provádění posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích. Při provádění vzdálených kontrol nepoužívejte jeden trvalý účet pro správu. Zvažte implementaci metodologie zřizování JIT pro účet kontroly. Přihlašovací údaje pro účet kontroly by měly být chráněné, monitorované a používány pouze pro kontrolu ohrožení zabezpečení.

Podle potřeby exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení.

Odpovědnost: Zákazník

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Spouštění clusterů HDInsight se nepatchuje automaticky. K opravě spuštěného clusteru používejte pouze akce skriptu nebo jiné mechanismy. Osvědčeným postupem je spustit tyto akce skriptu a hned po vytvoření clusteru použít aktualizace zabezpečení.

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Provedení testování průniku nebo červených týmových aktivit na prostředcích Azure podle potřeby a zajištění nápravy všech důležitých zjištění zabezpečení.

Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy porušují zásady Microsoftu. Použijte strategii a provádění red teaming od Microsoftu. Proveďte živé testování průniku webů s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odpovědi koncového bodu

Pokyny: Azure HDInsight nativně nepodporuje defender. Používá ClamAV. Přesměrujte protokoly ClamAV do centralizovaného systému SIEM nebo jiného systému detekce a upozorňování.

Odpovědnost: Zákazník

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Azure HDInsight obsahuje předinstalované a povolené image uzlů clusteru clamscan. Musíte ale software spravovat a ručně agregovat/monitorovat všechny protokoly, které Clamscan vytváří.

Odpovědnost: Zákazník

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Azure HDInsight obsahuje předinstalované a povolené image uzlů clusteru clamscan. Clamscan automaticky provede aktualizace modulu a definice a aktualizuje jeho antimalwarové podpisy na základě oficiální databáze podpisů virů ClamAV.

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pokud používáte Azure Key Vault s nasazením Azure HDInsight, pravidelně otestujte obnovení zálohovaných klíčů spravovaných zákazníkem.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Pokud používáte Azure Key Vault s nasazením Azure HDInsight, povolte obnovitelné odstranění v Key Vault k ochraně klíčů před náhodným nebo škodlivým odstraněním.

Odpovědnost: Zákazník

Další kroky