Azure-Sicherheitsbaseline für HDInsight
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf HDInsight an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für HDInsight definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für HDInsight gelten, wurden ausgeschlossen. Informationen zur vollständigen Zuordnung von HDInsight zum Microsoft-Cloudsicherheitstest finden Sie in der vollständigen HDInsight-Sicherheitsbaselinezuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von HDInsight mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Analyse |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Nur Leseberechtigung |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert ruhende Kundeninhalte | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Die Umkreissicherheit in Azure HDInsight wird durch virtuelle Netzwerke erreicht. Ein Unternehmensadministrator kann einen Cluster in einem virtuellen Netzwerk erstellen und den Zugriff auf das virtuelle Netzwerk mithilfe einer Netzwerksicherheitsgruppe (NSG) beschränken.
Konfigurationsleitfaden: Stellen Sie den Dienst in einem virtuellen Netzwerk bereit. Weisen Sie der Ressource (sofern zutreffend) private IP-Adressen zu, es sei denn, es gibt einen starken Grund, der Ressource öffentliche IP-Adressen direkt zuzuweisen.
Hinweis: Beschränken oder zulassen Sie den Datenverkehr zwischen internen Ressourcen basierend auf Ihren NSG-Regeln basierend auf Ihren Anwendungen und ihrer Unternehmenssegmentierungsstrategie. Bei bestimmten, klar definierten Anwendungen (z. B. Apps mit drei Ebenen) kann so eine äußerst sichere Standardverweigerung des Datenverkehrs festgelegt werden.
Referenz: Planen eines virtuellen Netzwerks für Azure HDInsight
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Die Umkreissicherheit in Azure HDInsight wird durch virtuelle Netzwerke erreicht. Ein Unternehmensadministrator kann einen Cluster in einem virtuellen Netzwerk erstellen und den Zugriff auf das virtuelle Netzwerk mithilfe einer Netzwerksicherheitsgruppe (NSG) beschränken. Nur die zulässigen IP-Adressen in den NSG-Eingangsregeln können mit dem Azure HDInsight-Cluster kommunizieren. Diese Konfiguration bietet Umgebungssicherheit. Alle in einem virtuellen Netzwerk bereitgestellten Cluster verfügen zudem über einen privaten Endpunkt. Der Endpunkt wird in eine private IP-Adresse innerhalb des Virtual Network aufgelöst. Sie bietet privaten HTTP-Zugriff auf die Clustergateways.
Beschränken oder ermöglichen Sie den Datenverkehr zwischen internen Ressourcen anhand Ihrer NSG-Regeln gemäß Ihren Anwendungen und der Strategie der Unternehmenssegmentierung. Bei bestimmten klar definierten Anwendungen wie einer Drei-Schichten-App kann beispielsweise eine äußerst sichere standardmäßige Verweigerung des Datenverkehrs festgelegt werden.
Folgende Ports sind in der Regel für alle Clustertypen erforderlich:
22–23: SSH-Zugriff auf die Clusterressourcen
443: Ambari, WebHCat-REST-API, HiveServer ODBC und JDBC
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Referenz: Steuern des Netzwerkdatenverkehrs in Azure HDInsight
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Verwenden Sie Azure Private Link, um den privaten Zugriff auf HDInsight von Ihren virtuellen Netzwerken aus zu ermöglichen, ohne über das Internet zu gelangen. Mit dem privaten Zugriff wird der Azure-Authentifizierung und der Datenverkehrssicherheit eine weitere, umfassende Sicherheitsmaßnahme hinzugefügt.
Konfigurationsleitfaden: Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das feature Private Link unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Hinweis: Verwenden Sie Azure Private Link, um den privaten Zugriff auf HDInsight von Ihren virtuellen Netzwerken aus zu ermöglichen, ohne das Internet zu überqueren. Mit dem privaten Zugriff wird der Azure-Authentifizierung und der Datenverkehrssicherheit eine weitere, umfassende Sicherheitsmaßnahme hinzugefügt.
Referenz: Aktivieren Private Link in einem HDInsight-Cluster
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder mit einem Umschaltschalter für den Zugriff auf öffentliche Netzwerke.
Referenz: Einschränken der öffentlichen Konnektivität in Azure HDInsight
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.
Referenz: Übersicht über die Unternehmenssicherheit in Azure HDInsight
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Wenn ein HDI-Cluster erstellt wird, werden zwei lokale Administratorkonten auf der Datenebene (Apache Ambari) erstellt. Eine, die dem Benutzer entspricht, für den Anmeldeinformationen vom Clusterersteller übergeben werden. Die andere wird von der HDI-Steuerungsebene erstellt. Die HDI-Steuerungsebene verwendet dieses Konto, um Datenebenenaufrufe durchzuführen. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Funktionen
Lokale Admin Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Wenn ein HDI-Cluster erstellt wird, werden zwei lokale Administratorkonten auf der Datenebene (Apache Ambari) erstellt. Eine, die dem Benutzer entspricht, für den Anmeldeinformationen vom Clusterersteller übergeben werden. Die andere wird von der HDI-Steuerungsebene erstellt. Die HDI-Steuerungsebene verwendet dieses Konto, um Datenebenenaufrufe durchzuführen. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Die Datenebene unterstützt nur Ambari-basierte Rollen. Fein abgestreckte ACL erfolgt über Ranger.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: In Supportszenarien, in denen Microsoft auf Kundendaten zugreifen muss, unterstützt HDInsight Kunden-Lockbox. Ihnen wird eine Oberfläche bereitgestellt, über die Sie Zugriffsanforderungen für Kundendaten überprüfen und genehmigen oder ablehnen können.
Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.
Referenz: Kunden-Lockbox für Microsoft Azure
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Verwenden Sie Tags für Ressourcen im Zusammenhang mit Ihren Azure HDInsight-Bereitstellungen, um Azure-Ressourcen zu verfolgen, die vertrauliche Informationen speichern oder verarbeiten. Klassifizieren und Identifizieren vertraulicher Daten mithilfe von Microsoft Purview. Verwenden Sie den Dienst für Daten in SQL-Datenbanken oder Azure Storage-Konten, die Ihrem HDInsight-Cluster zugeordnet sind.
Bei der zugrunde liegenden Plattform, die von Microsoft verwaltet wird, behandelt Microsoft alle Kundeninhalte als vertraulich. Microsoft ergreift umfangreiche Maßnahmen gegen den Verlust und die Gefährdung von Kundendaten. Um die Sicherheit von Kundendaten innerhalb von Azure zu gewährleisten, hat Microsoft eine Reihe von robusten Datenschutzkontrollen und -funktionen implementiert und kümmert sich um deren Verwaltung.
Konfigurationsleitfaden: Verwenden Sie Tools wie Azure Purview, Azure Information Protection und Azure SQL Datenermittlung und -klassifizierung, um vertrauliche Daten, die sich in Azure, lokal, Microsoft 365 oder an anderen Standorten befinden, zentral zu scannen, zu klassifizieren und zu bezeichnen.
Referenz: Azure-Kundendatenschutz
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Featurehinweise: HDInsight unterstützt die Datenverschlüsselung während der Übertragung mit TLS v1.2 oder höher. Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung. Stellen Sie sicher, dass alle Clients, die eine Verbindung mit Ihrem Azure HDInsight-Cluster oder mit Clusterdatenspeichern (Azure Storage-Konten oder Azure Data Lake Storage Gen1/Gen2) herstellen, die Aushandlung mit TLS 1.2 oder höher durchführen können. Für Microsoft Azure-Ressourcen wird standardmäßig die TLS 1.2-Aushandlung durchgeführt.
Um die Zugriffssteuerung zu ergänzen, schützen Sie Daten während der Übertragung vor Out-of-Band-Angriffen wie der Erfassung von Datenverkehr. Verwenden Sie die Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungsverfahren sollten deaktiviert werden.
Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, bei denen eine native Datenverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Legacyversionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung von Virtual Machines SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Hinweis: HDInsight unterstützt die Datenverschlüsselung während der Übertragung mit TLS v1.2 oder höher. Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung. Stellen Sie sicher, dass alle Clients, die eine Verbindung mit Ihrem Azure HDInsight-Cluster oder mit Clusterdatenspeichern (Azure Storage-Konten oder Azure Data Lake Storage Gen1/Gen2) herstellen, die Aushandlung mit TLS 1.2 oder höher durchführen können. Für Microsoft Azure-Ressourcen wird standardmäßig die TLS 1.2-Aushandlung durchgeführt.
Um die Zugriffssteuerung zu ergänzen, schützen Sie Daten während der Übertragung vor Out-of-Band-Angriffen wie der Erfassung von Datenverkehr. Verwenden Sie die Verschlüsselung, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.
Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungsverfahren sollten deaktiviert werden.
Azure ermöglicht standardmäßig die Verschlüsselung von Daten während der Übertragung zwischen Azure-Rechenzentren.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Featurehinweise: Wenn Sie Azure SQL Database zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Der Webhook ist standardmäßig aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Konfigurationsleitfaden: Aktivieren Sie die Verschlüsselung ruhender Daten mithilfe plattformverwalteter (von Microsoft verwalteter) Schlüssel, die nicht automatisch vom Dienst konfiguriert werden.
Hinweis: Wenn Sie Azure SQL Database zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Der Webhook ist standardmäßig aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Featurehinweise: Wenn Sie Azure SQL Database zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Der Webhook ist standardmäßig aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Hinweis: Wenn Sie Azure SQL Database zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Der Webhook ist standardmäßig aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Featurehinweise: Wenn Sie Azure SQL Database zum Speichern von Apache Hive- und Apache Oozie-Metadaten verwenden, stellen Sie sicher, dass SQL-Daten immer verschlüsselt bleiben. Für Azure Storage-Konten und Data Lake Storage (Gen1 oder Gen2) empfiehlt es sich, Microsoft die Verwaltung Ihrer Verschlüsselungsschlüssel zu gestatten. Sie haben aber auch die Möglichkeit, Ihre Schlüssel selbst zu verwalten.
HDInsight unterstützt auf zwei Ebenen mehrere Verschlüsselungstypen:
Serverseitige Verschlüsselung (Server Side Encryption, SSE), die vom Speicherdienst durchgeführt wird. In HDInsight wird SSE verwendet, um Betriebssystem- und normale Datenträger zu verschlüsseln. Der Webhook ist standardmäßig aktiviert. SSE ist ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung auf dem Host mit einem von der Plattform verwalteten Schlüssel: (Ähnlich wie bei SSE) wird diese Art der Verschlüsselung vom Speicherdienst übernommen. Sie gilt jedoch nur für temporäre Datenträger und ist nicht standardmäßig aktiviert. Die Verschlüsselung auf dem Host ist auch ein Verschlüsselungsdienst der Ebene 1.
Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel: Dieser Verschlüsselungstyp eignet sich für normale und temporäre Datenträger. Er ist standardmäßig nicht aktiviert und erfordert, dass der Kunde seinen eigenen Schlüssel über Azure Key Vault bereitstellt. Verschlüsselung ruhender Daten ist ein Verschlüsselungsdienst der Ebene 2.
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder wenn eine wichtige Einstellung oder Kompromittierung vorliegt. Wenn kundenseitig verwalteter Schlüssel (Customer-Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DATA Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst bringen müssen (z. B. den Import HSM-geschützter Schlüssel von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Hinweis: Wenn Sie Azure Key Vault mit Ihrer Azure HDInsight-Bereitstellung verwenden, testen Sie regelmäßig die Wiederherstellung von gesicherten kundenseitig verwalteten Schlüsseln.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Azure HDInsight-Verschlüsselung für ruhende Daten
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Verwenden Sie Azure Policy Aliase im Namespace "Microsoft.HDInsight", um benutzerdefinierte Richtlinien zu erstellen. Konfigurieren Sie die Richtlinien zum Überwachen oder Erzwingen der Netzwerkkonfiguration Ihres HDInsight-Clusters.
Wenn Sie über ein Rapid7-, Qualys- oder ein anderes Abonnement für eine Sicherheitsrisikomanagement-Plattform verfügen, haben Sie Zugang zu weiteren Optionen. Sie können Skriptaktionen verwenden, um Agents zur Sicherheitsrisikobewertung auf Ihren Azure HDInsight-Clusterknoten zu installieren, und die Knoten über das entsprechende Portal verwalten.
Mit Azure HDInsight ESP können Sie Apache Ranger verwenden, um detaillierte Richtlinien zur Zugriffssteuerung und Datenobfuskation zu erstellen und zu verwalten. Sie können dies für Ihre Daten tun, die in: Dateien/Ordner/Datenbanken/Tabellen/Zeilen/Spalten gespeichert sind.
Der Hadoop-Administrator kann die rollenbasierte Zugriffssteuerung (Azure RBAC) konfigurieren, um Apache Hive, HBase, Kafka und Spark mit diesen Plug-Ins in Apache Ranger zu schützen.
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [bereitstellen, wenn nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Azure Policy integrierten Definitionen für Azure HDInsight
AM-5: Verwenden ausschließlich genehmigter Anwendungen auf VMs
Funktionen
Microsoft Defender für Cloud – Adaptive Anwendungssteuerung
Beschreibung: Der Dienst kann einschränken, welche Kundenanwendungen auf dem virtuellen Computer ausgeführt werden, indem adaptive Anwendungssteuerungen in Microsoft Defender für Cloud verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Azure HDInsight unterstützt Defender nicht nativ; Es verwendet jedoch ClamAV. Darüber hinaus können Sie bei Verwendung des ESP für HDInsight einige der integrierten Microsoft Defender für Cloud-Bedrohungserkennungsfunktionen verwenden. Sie können Microsoft Defender auch für Ihre VMs aktivieren, die HDInsight zugeordnet sind.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Aktivitätsprotokolle sind automatisch verfügbar. Die Protokolle enthalten alle PUT-, POST- und DELETE-Vorgänge für Ihre HDInsight-Ressourcen, jedoch keine Lesevorgänge (GET). Mithilfe von Aktivitätsprotokollen können Sie bei der Problembehandlung Fehler ermitteln oder die Änderungen überwachen, die von Benutzern in Ihrer Organisation an Ressourcen vorgenommen wurden.
Aktivieren Sie Azure-Ressourcenprotokolle für HDInsight. Sie können Microsoft Defender für Cloud und Azure Policy verwenden, um die Erfassung von Ressourcenprotokollen und Protokolldaten zu aktivieren. Diese Protokolle können von entscheidender Bedeutung sein, wenn Sie Sicherheitsvorfälle untersuchen und forensische Maßnahmen durchführen.
HDInsight erstellt auch Sicherheitsüberwachungsprotokolle für die lokalen Administratorkonten. Aktivieren Sie diese lokalen Administratorüberwachungsprotokolle.
Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für den Dienst. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die ein Geheimnis aus einem Schlüsseltresor abrufen, oder und Azure SQL über Ressourcenprotokolle verfügt, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
Referenz: Verwalten von Protokollen für einen HDInsight-Cluster
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3: Definieren und Einrichten sicherer Konfigurationen für Computeressourcen
Funktionen
Azure Automation State Configuration
Beschreibung: Azure Automation State Configuration kann verwendet werden, um die Sicherheitskonfiguration des Betriebssystems zu verwalten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Azure HDInsight-Betriebssystemimages werden von Microsoft verwaltet und verwaltet. Der Kunde ist jedoch für die Implementierung der Zustandskonfiguration auf Betriebssystemebene für dieses Image verantwortlich. Mithilfe von Microsoft-VM-Vorlagen in Kombination mit Azure Automation State Configuration können Sie Sicherheitsanforderungen nachhaltig erfüllen.
Konfigurationsleitfaden: Verwenden Sie Azure Automation State Configuration, um die Sicherheitskonfiguration des Betriebssystems zu verwalten.
Referenz: Azure Automation State Configuration Übersicht
Azure Policy Gastkonfigurations-Agent
Beschreibung: Azure Policy Gastkonfigurations-Agent kann installiert oder als Erweiterung für Computeressourcen bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Es gibt keine aktuelle Microsoft-Anleitung für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Grundlegendes zum Computerkonfigurationsfeature von Azure Automanage
Benutzerdefinierte VM-Images
Beschreibung: Der Dienst unterstützt die Verwendung von benutzerseitig bereitgestellten VM-Images oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Images für benutzerdefinierte Container
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vorgefertigten Images aus dem Marketplace, wobei bestimmte Baselinekonfigurationen bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PV-5: Durchführen von Sicherheitsrisikobewertungen
Funktionen
Sicherheitsrisikobewertung mithilfe von Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für cloud- oder andere eingebettete Microsoft Defender-Dienste (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS) auf Sicherheitsrisikoüberprüfung überprüft werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: Azure HDInsight unterstützt Microsoft Defender für die Sicherheitsrisikobewertung nicht nativ, es verwendet ClamAV für den Schutz vor Schadsoftware. Wenn Sie jedoch das ESP für HDInsight verwenden, können Sie einige der integrierten Funktionen zur Bedrohungserkennung von Microsoft Defender für Cloud verwenden. Sie können Microsoft Defender auch für Ihre VMs aktivieren, die HDInsight zugeordnet sind.
Leiten Sie alle Protokolle aus HDInsight an Ihre SIEM-Lösung weiter, die zur Einrichtung benutzerdefinierter Bedrohungserkennungen verwendet werden kann. Stellen Sie sicher, dass Sie unterschiedliche Arten von Azure-Ressourcen auf potenzielle Bedrohungen und Anomalien überwachen. Das Ziel sollten möglichst hochwertige Warnungen sein. Damit verringern Sie die Anzahl falsch positiver Ergebnisse, die später von Analysten aussortiert werden müssen. Die Quellen von Warnungen können Protokolldaten, Agents oder andere Daten darstellen.
Konfigurationsleitfaden: Befolgen Sie die Empfehlungen von Microsoft Defender für Cloud, um Sicherheitsrisikobewertungen auf Ihren virtuellen Azure-Computern, Containerimages und SQL-Servern durchzuführen.
Hinweis: Azure HDInsight unterstützt Defender nicht nativ, es verwendet ClamAV. Wenn Sie jedoch das ESP für HDInsight verwenden, können Sie einige der integrierten Funktionen zur Bedrohungserkennung von Microsoft Defender für Cloud verwenden. Sie können Microsoft Defender auch für Ihre VMs aktivieren, die HDInsight zugeordnet sind.
Leiten Sie alle Protokolle aus HDInsight an Ihre SIEM-Lösung weiter, die zur Einrichtung benutzerdefinierter Bedrohungserkennungen verwendet werden kann. Stellen Sie sicher, dass Sie unterschiedliche Arten von Azure-Ressourcen auf potenzielle Bedrohungen und Anomalien überwachen. Das Ziel sollten möglichst hochwertige Warnungen sein. Damit verringern Sie die Anzahl falsch positiver Ergebnisse, die später von Analysten aussortiert werden müssen. Die Quellen von Warnungen können Protokolldaten, Agents oder andere Daten darstellen.
PV-6: Schnelles und automatisches Beheben von Sicherheitsrisiken
Funktionen
Azure Automation-Updateverwaltung
Beschreibung: Der Dienst kann Azure Automation Updateverwaltung verwenden, um Patches und Updates automatisch bereitzustellen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Shared |
Featurehinweise: Ubuntu-Images werden innerhalb von drei Monaten nach der Veröffentlichung für die Erstellung eines neuen Azure HDInsight-Clusters verfügbar. Ausgeführte Cluster werden nicht automatisch gepatcht. Kunden müssen Skriptaktionen oder andere Mechanismen verwenden, um einen laufenden Cluster zu patchen. Es hat sich bewährt, diese Skriptaktionen auszuführen und direkt nach der Clustererstellung Sicherheitsupdates durchzuführen.
Konfigurationsleitfaden: Verwenden Sie Azure Automation Updateverwaltung oder eine Drittanbieterlösung, um sicherzustellen, dass die neuesten Sicherheitsupdates auf Ihren Windows- und Linux-VMs installiert sind. Stellen Sie bei virtuellen Windows-Computern sicher, dass Windows Update aktiviert wurde und auf „Automatisch Aktualisieren“ festgelegt ist.
Hinweis: Ubuntu-Images stehen innerhalb von drei Monaten nach der Veröffentlichung für die Erstellung neuer Azure HDInsight-Cluster zur Verfügung. Laufende Cluster werden nicht automatisch gepatcht. Kunden müssen Skriptaktionen oder andere Mechanismen verwenden, um einen laufenden Cluster zu patchen. Es hat sich bewährt, diese Skriptaktionen auszuführen und direkt nach der Clustererstellung Sicherheitsupdates durchzuführen.
Referenz: Übersicht über die Updateverwaltung
Endpunktsicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Endpunktsicherheit.
ES-1: Verwenden von Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
Funktionen
EDR-Lösung
Beschreibung: Die EDR-Funktion (Endpoint Detection and Response), z. B. Azure Defender für Server, kann im Endpunkt bereitgestellt werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure HDInsight unterstützt Microsoft Defender for Endpoint nicht nativ, es verwendet ClamAV für den Schutz vor Schadsoftware.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Kann ich in meinem Cluster deaktivieren Clamscan ?
ES-2: Verwenden moderner Antischadsoftware
Funktionen
Anti-Malware-Lösung
Beschreibung: Anti-Malware-Funktion wie Microsoft Defender Antivirus, Microsoft Defender for Endpoint können auf dem Endpunkt bereitgestellt werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure HDInsight verwendet ClamAV. Leiten Sie die ClamAV-Protokolle an eine zentrale SIEM-Lösung oder ein anderes Erkennungs- und Warnsystem weiter.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Sicherheit und Zertifikate
ES-3: Sicherstellen der Aktualisierung von Antischadsoftware und Signaturen
Funktionen
Integritätsüberwachung der Anti-Malware-Lösung
Beschreibung: Die Anti-Malware-Lösung bietet Integritätsüberwachung status für Plattform-, Engine- und automatische Signaturupdates. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: In Azure HDInsight ist Clamscan vorinstalliert und für die Clusterknotenimages aktiviert. Clamscan führt automatisch Engine- und Definitionsupdates durch und aktualisiert die eigenen Antischadsoftwaresignaturen basierend auf der offiziellen Virensignaturdatenbank von ClamAV.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Sicherheit und Zertifikate
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Service Native Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Featurehinweise: HBase-Export und HBase-Replikation sind gängige Methoden, um geschäftskontinuität zwischen HDInsight HBase-Clustern zu ermöglichen.
HBase Export ist ein Batchreplikationsprozess, der das HBase Export-Hilfsprogramm verwendet, um Tabellen aus dem primären HBase-Cluster in den darunter liegenden Azure Data Lake Storage Gen2-Speicher zu exportieren. Die exportierten Daten können dann aus dem sekundären HBase-Cluster abgerufen und in Tabellen importiert werden, die im sekundären Cluster bereits vorhanden sein müssen. Während HBase Export eine Granularität auf Tabellenebene bietet, steuert die Engine für die Exportautomatisierung in inkrementellen Aktualisierungssituationen den Bereich der inkrementellen Zeilen, die bei jeder Ausführung berücksichtigt werden sollen.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Einrichten der Sicherung und Replikation für Apache HBase und Apache Phoenix in HDInsight
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.