Línea de base de seguridad de Azure para HDInsight

Esta línea base de seguridad aplica las instrucciones de Azure Security Benchmark, versión 2.0 a HDInsight. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a HDInsight.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a HDInsight y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo se asigna por completo HDInsight a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de HDInsight.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: la seguridad del perímetro en Azure HDInsight se logra mediante redes virtuales. Un administrador de empresa puede crear un clúster dentro de una red virtual y usar un grupo de seguridad de red (NSG) para restringir el acceso a la red virtual. Solo las direcciones IP permitidas en las reglas del grupo de seguridad de red de entrada pueden comunicarse con el clúster de Azure HDInsight. Esta configuración proporciona la seguridad del perímetro. Todos los clústeres implementados en una red virtual también tendrán un punto de conexión privado. El punto de conexión se resolverá en una dirección IP privada dentro de la red virtual. Proporciona acceso HTTP privado a las puertas de enlace del clúster.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos según sus reglas de NSG. En el caso de aplicaciones específicas bien definidas, como una aplicación de tres niveles, esto puede ser una regla muy segura de "denegación de manera predeterminada".

Puertos necesarios generalmente en todos los tipos de clústeres:

• 22-23: acceso SSH a los recursos del clúster

• 443: Ambari, API REST de WebHCat, ODBC y JDBC del servidor de Hive

Para conocer los tipos específicos de clústeres y más detalles, consulte este artículo.

Puede crear clústeres de HDInsight privados mediante la configuración de propiedades de red específicas en una plantilla de Azure Resource Manager (ARM). Hay dos propiedades que se usan para crear clústeres de HDInsight privados:

• Quite las direcciones IP públicas estableciendo la conexión del proveedor de recursos en saliente.

• Habilite Azure Private Link y use puntos de conexión privados estableciendo Private Link en habilitado.

Para más información, consulte las siguientes referencias:

• Habilitación de Private Link en un clúster de HDInsight

• Arquitectura de red virtual de Azure HDInsight

• Implementación de red virtual de HDInsight

• Seguridad de la capa de transporte en Azure HDInsight

• Control del tráfico de red en Azure HDInsight

Responsabilidad: Customer

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía: use Azure Private Link para habilitar el acceso privado a HDInsight desde sus redes virtuales sin usar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.

• Habilitación de Private Link en un clúster de HDInsight

Responsabilidad: Customer

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía: proteja los recursos de HDInsight frente a ataques de redes externas. Entre los ataques, se pueden incluir:

• Ataques de denegación de servicio distribuido (DDoS)

• Ataques específicos de la aplicación

• Tráfico de Internet no solicitado y potencialmente malintencionado

Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Para proteger los recursos frente a ataques DDoS, habilite DDoS Protection Estándar en las redes virtuales de Azure. Use Microsoft Defender for Cloud para detectar riesgos de configuración incorrecta en los recursos relacionados con la red.

• Denegación de las comunicaciones con direcciones IP malintencionadas conocidas

• Definiciones integradas de Azure Policy para Azure HDInsight

• Documentación sobre Azure Firewall

• Administración de Azure DDoS Protection estándar mediante Azure Portal

Responsabilidad: Customer

NS-6: simplificación de las reglas de seguridad de red

Guía: use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red para los recursos de HDInsight en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique un nombre de etiqueta de servicio como "HDInsight" en el campo de origen o destino de la regla adecuado para permitir o denegar el tráfico para el servicio. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

• Descripción y uso de etiquetas de servicio para Azure HDInsight

• Descripción y uso de etiquetas de servicio

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Siga los procedimientos recomendados para la seguridad de DNS con el fin de mitigar ataques comunes, como los siguientes:

• DNS pendientes.

• Ataques de amplificación de DNS.

• Ataques de tipo "poisoning" y suplantación de identidad de DNS.

Cuando use Azure DNS como su servicio DNS, asegúrese de proteger las zonas DNS y los registros frente a cambios accidentales o malintencionados mediante el control de acceso basado en roles (RBAC) de Azure y los bloqueos de recursos.

• Conexión de HDInsight a la red local

• Introducción a Azure DNS

• Guía de implementación del sistema de nombres de dominio (DNS) seguro

• Evitar las entradas DNS pendientes y la adquisición de subdominios

• Planificación de una red virtual para Azure HDInsight

Responsabilidad: Customer

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: HDInsight usa Azure AD como servicio de administración de la identidad y el acceso predeterminado. Estandarice Azure AD para gobernar la administración de identidades y acceso de la organización en:

• Recursos de Microsoft Cloud. Los recursos incluyen:

  • El Portal de Azure

  • Azure Storage

  • Máquinas virtuales Linux y Windows de Azure

  • Azure Key Vault

  • Plataforma como servicio (PaaS)

  • Aplicaciones de software como servicio (SaaS)

• Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe ser de alta prioridad para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Configure clústeres de Azure HDInsight con Enterprise Security Package (ESP). Puede conectar estos clústeres a un dominio para que los usuarios puedan usar sus credenciales de dominio para autenticarse con los clústeres. Hay tres roles integrados principales de RBAC de Azure disponibles para la administración de recursos de HDInsight:

• Lector: acceso de lectura a recursos de HDInsight, incluidos los secretos

• Operador de clúster de HDInsight: acceso de lectura y escritura a recursos de HDInsight, incluidos los secretos

• Colaborador: acceso de lectura y escritura, incluidos los secretos y la capacidad de ejecutar acciones de script

Para la seguridad de nivel de fila, se puede implementar Apache Ranger para establecer directivas de control de acceso para Hive.

• Configuración de Apache Ranger

• Configuración de clústeres de HDInsight para la integración de Azure Active Directory con Enterprise Security Package

• Inquilinos en Azure Active Directory

• Procedimiento para crear y configurar una instancia de Azure AD

• Uso de proveedores de identidades externos para una aplicación

• Migración a acceso basado en rol detallado para configuraciones de clúster

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: HDInsight admite identidades administradas para sus recursos de Azure. Use identidades administradas con HDInsight en lugar de crear entidades de servicio para acceder a otros recursos. HDInsight puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se admite mediante una regla de concesión de acceso predefinida. No usa credenciales codificadas de forma rígida en los archivos de configuración ni el código fuente.

• Identidades administradas en Azure HDInsight

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: use el Agente de identidad de Azure HDInsight para iniciar sesión en clústeres de ESP mediante la autenticación multifactor, sin proporcionar ninguna contraseña. Si ya ha iniciado sesión en otros servicios de Azure, como Azure Portal, puede iniciar sesión en el clúster de Azure HDInsight con una experiencia de inicio de sesión único.

• Habilitación del agente de identidad de Azure HDInsight

Responsabilidad: Customer

IM-7: Elimine la exposición de credenciales no intencionada

Instrucciones: si usa cualquier código relacionado con la implementación de Azure HDInsight, puede implementar Credential Scanner para identificar las credenciales en el código. El analizador de credenciales también fomenta el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub, puede usar la característica nativa de examen de secretos para identificar credenciales u otro tipo de secretos en el código.

• Se recomienda habilitar el examen de credenciales para identificar y eliminar

• Configuración del escáner de credenciales

• Escaneo de secretos de GitHub

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Los roles integrados de Azure AD más críticos son Administrador global y Administrador de roles con privilegios. Los usuarios con estos dos roles pueden delegar roles de administrador.

• Los roles Administrador global y Administrador de empresa tienen acceso a todas las características de administración de Azure AD y a los servicios que usan identidades de Azure AD.

• El Administrador de roles con privilegios puede administrar las asignaciones de roles en Azure AD y Azure AD Privileged Identity Management (PIM). Este rol puede administrar todos los aspectos de PIM y las unidades administrativas.

Use HDInsight ESP, que tiene los siguientes roles con privilegios:

• Administrador de clústeres

• Operador de clústeres

• Administrador de servicios

• Operador de servicio

• Usuario del clúster

Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Limite el número de cuentas o roles con privilegios elevados y proteja estas cuentas en un nivel alto. Los usuarios con privilegios elevados pueden leer y modificar directa o indirectamente todos los recursos de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y a Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando haya actividades sospechosas o no seguras en su organización de Azure AD.

• Administración de clústeres de Apache Hadoop en HDInsight mediante Azure Portal

• Permisos de rol administrativo en Azure AD

• Uso de alertas de seguridad de Azure Privileged Identity Management

• Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD

• Protección y limitación de usuarios con privilegios elevados

• Administración de identidades

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: HDInsight usa cuentas de Azure AD para administrar sus recursos. Revise periódicamente las cuentas de usuario y las asignaciones de acceso para asegurarse de que las cuentas y su acceso sean válidos. Puede usar las revisiones de acceso y Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede crear flujos de trabajo de informes de revisión de acceso en Azure AD PIM para facilitar el proceso de revisión.

Puede configurar Azure AD PIM para que le alerte cuando haya demasiadas cuentas de administrador. PIM puede identificar cuentas de administrador obsoletas o configuradas incorrectamente.

• Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Enterprise Security Package para Azure HDInsight

• Migración a acceso basado en rol detallado para configuraciones de clúster

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: las estaciones de trabajo seguras y aisladas son críticas para la seguridad de los roles con acceso a información confidencial, como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas relacionadas con la administración de los recursos de HDInsight.

Use Azure AD, ATP de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Puede administrar de manera centralizada estaciones de trabajo protegidas para aplicar una configuración de seguridad que incluya:

• Autenticación sólida

• Líneas base de software y hardware

• Acceso lógico y de red restringido

Para más información, consulte las siguientes referencias:

• Implementación de estaciones de trabajo de acceso con privilegios

• Implementación de una estación de trabajo con privilegios de acceso

Responsabilidad: Customer

PA-7: Seguir el principio de privilegios mínimos de solo la administración suficiente

Guía: HDInsight se integra con RBAC de Azure para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure mediante asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos integrados. Puede inventariar o consultar estos roles con herramientas como la CLI de Azure, Azure PowerShell o Azure Portal.

Limite los privilegios que asigne a los recursos a través de Azure RBAC a lo que requieren los roles. Esta práctica complementa el enfoque Just-In-Time (JIT) de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use los roles integrados para dar permisos, y cree solo los roles personalizados cuando sea necesario. HDInsight usa Apache Ranger para permitir un control más granular sobre los permisos.

• Migración a acceso basado en rol detallado para configuraciones de clúster

• Sincronización de LDAP en Ranger y Apache Ambari en Azure HDInsight

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?

• Configuración de RBAC en Azure

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, HDInsight admite la característica Caja de seguridad del cliente. Proporciona una interfaz para que revise las solicitudes de acceso a los datos de los clientes y las apruebe o rechace.

• Descripción de la Caja de seguridad del cliente

Responsabilidad: Customer

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía: use etiquetas en los recursos relacionados con las implementaciones de Azure HDInsight para ayudar a realizar un seguimiento de los recursos de Azure que almacenan o procesan información confidencial. Clasifique e identifique datos confidenciales mediante Microsoft Purview. Use el servicio para los datos almacenados en bases de datos SQL o cuentas de Azure Storage asociadas al clúster de HDInsight.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial. Microsoft hace todo lo posible para evitar la pérdida de datos de los clientes y su exposición. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Introducción a Microsoft Purview

• Creación y uso de etiquetas

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

DP-2: Protección de datos confidenciales

Guía: implemente suscripciones o grupos de administración independientes para los entornos de desarrollo, pruebas y producción. Debe separar los clústeres Azure HDInsight y las cuentas de almacenamiento asociadas mediante red virtual o subred, etiquetarlos correctamente y protegerlos dentro de un grupo de seguridad de red o Azure Firewall. Los datos del clúster deben estar incluidos en una cuenta de Azure Storage protegida o en Azure Data Lake Storage (Gen1 o Gen2).

• Selección de las opciones de almacenamiento para el clúster de Azure HDInsight

• Protección de Azure Data Lake Storage

• Protección de cuentas de Azure Storage

Responsabilidad: Customer

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Instrucciones: en el caso de los clústeres de Azure HDInsight que almacenan o procesan información confidencial, marque el clúster y los recursos relacionados como confidenciales mediante etiquetas. Para reducir el riesgo de pérdida de datos mediante filtración, restrinja el tráfico de red saliente de los clústeres de Azure HDInsight con Azure Firewall.

HDInsight no admite la supervisión automática para la transferencia no autorizada de datos confidenciales de forma nativa.

En el caso de la plataforma subyacente (administrada por Microsoft), Microsoft trata todo el contenido de los clientes como confidencial. Microsoft hace todo lo posible para evitar la pérdida de datos de los clientes y su exposición. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Restricción del tráfico saliente para clústeres de Azure HDInsight con Azure Firewall

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

DP-4: Cifrado de la información confidencial en tránsito

Guía: HDInsight admite el cifrado de datos en tránsito con TLS v1.2 o una versión posterior. Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan al clúster de Azure HDInsight o a los almacenes de datos del clúster (cuentas de Azure Storage o Azure Data Lake Storage Gen1/Gen2) puedan negociar TLS 1.2 o superior. De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2.

Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda", como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

• Descripción del cifrado en tránsito con Azure

• Información sobre la seguridad de TLS

• Cifrado doble para datos de Azure en tránsito

• Descripción del cifrado en tránsito de Azure Data Lake Storage

• Descripción del cifrado en tránsito de la cuenta de Azure Storage

Responsabilidad: Compartido

DP-5: Cifrado de datos confidenciales en reposo

Guía: si usa Azure SQL Database para almacenar metadatos de Apache Hive y Apache Oozie, asegúrese de que los datos de SQL permanezcan cifrados. En el caso de las cuentas de Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.

HDInsight admite varios tipos de cifrado en dos niveles diferentes:

• Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esto está habilitada de manera predeterminada. SSE es un servicio de cifrado de nivel 1.

• Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. No obstante, solo se aplica a los discos temporales y no está habilitado de manera predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.

• Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de manera predeterminada y requiere que el cliente proporcione su propia clave mediante Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.

• Cifrado doble de datos en reposo en Azure HDInsight

• Administración de las claves de cifrado para cuentas de Azure Storage

• Creación de Azure Data Lake Storage mediante claves de cifrado administradas por el cliente

• Configuración del Cifrado de datos transparente para SQL Database mediante claves administradas por el cliente

Responsabilidad: Compartido

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de conceder permisos de Lector de seguridad a los equipos de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad con Microsoft Defender for Cloud.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o de un equipo local, en función de cómo se estructuren las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar los permisos de Lector de seguridad de forma general a un grupo de administración raíz de un inquilino completo, o definir el ámbito de los permisos a suscripciones o grupos de administración específicos.

• Introducción al rol de lector de seguridad

• Información general sobre los grupos de administración de Azure

Responsabilidad: Customer

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía: asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos de Azure continuamente actualizado, como HDInsight. Los equipos de seguridad suelen necesitar este inventario para evaluar la exposición potencial de su organización a los riesgos emergentes, y para usarlo como entrada para mejoras de seguridad continuas. Cree un grupo de Azure AD para que contenga al equipo de seguridad autorizado de la organización. Asígneles acceso de lectura a todos los recursos de HDInsight. Para simplificar el proceso, puede usar una única asignación de roles de alto nivel en la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

• Creación de consultas con Azure Resource Graph Explorer

• Para más información sobre el etiquetado de recursos, vea la guía de decisiones de nomenclatura y etiquetado de recursos.

Responsabilidad: Customer

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos en las suscripciones. También puede usar Azure Monitor para crear reglas que desencadenen alertas cuando detecten un servicio no aprobado.

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

• Creación de consultas con Azure Resource Graph Explorer

Responsabilidad: Customer

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía: use Azure Resource Graph para consultar y detectar todos los recursos (por ejemplo, proceso, almacenamiento, red, puertos y protocolos, etc.), incluidos los clústeres de Azure HDInsight, dentro de las suscripciones. Quite los recursos de Azure no aprobados que detecte. En el caso de los nodos del clúster de Azure HDInsight, implemente una solución de terceros para quitar software no aprobado o alertas al respecto.

• Creación de consultas con Azure Resource Graph

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Azure HDInsight no es compatible con Defender de forma nativa, usa ClamAV. Sin embargo, al usar ESP para HDInsight, puede usar parte de la funcionalidad de detección de amenazas integrada de Microsoft Defender for Cloud. También puede habilitar Microsoft Defender para las máquinas virtuales asociadas a HDInsight.

Reenvíe los registros de HDInsight a su SIEM, que se puede usar para configurar detecciones de amenazas personalizadas. Asegúrese de supervisar los distintos tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

• Protección contra amenazas en Microsoft Defender for Cloud

• Guía de referencia de alertas de seguridad de Microsoft Defender for Cloud

• Creación de reglas de análisis personalizadas para detectar amenazas

• Indicadores de amenazas para la inteligencia sobre ciberamenazas en Microsoft Sentinel

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

• Configuración del período de retención del área de trabajo de Log Analytics

Responsabilidad: Customer

LT-3: Habilitación del registro para las actividades de red de Azure

Guía: use Microsoft Defender for Cloud y corrija las recomendaciones de protección para la red virtual, la subred y el grupo de seguridad de red que se van a usar para proteger el clúster de Azure HDInsight. Habilite los registros de flujo de grupos de seguridad de red y envíe los registros a una cuenta de Azure Storage para las auditorías del tráfico. También puede enviar los registros de flujo del grupo de seguridad de red a un área de trabajo de Azure Log Analytics y usar Análisis de tráfico de Azure para proporcionar información detallada sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas que proporciona el Análisis de tráfico de Azure son la capacidad de:

• Visualizar la actividad de red e identificar las zonas activas.

• Identificar amenazas de seguridad.

• Comprender los patrones del flujo de tráfico

• Identificar errores de configuración de red

HDInsight registra todo el tráfico de red que procesa para el acceso del cliente. Habilite la funcionalidad de flujo de red dentro de los recursos de oferta implementados.

• Habilitación de los registros de flujo de grupos de seguridad de red

• Métricas y registros de Azure Firewall

• Habilitación y uso del Análisis de tráfico

• Supervisión con Network Watcher

• Soluciones de supervisión de redes de Azure en Azure Monitor

• Uso de los registros de Azure Monitor para supervisar clústeres de HDInsight

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para los recursos de HDInsight, excepto las operaciones de lectura (GET). Puede usar los registros de actividad para buscar errores al solucionar problemas, o para supervisar cómo han modificado los recursos los usuarios de su organización.

Habilite los registros de recursos de Azure para HDInsight. Puede usar Microsoft Defender para Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para la investigación de incidentes de seguridad y para llevar a cabo ejercicios forenses.

HDInsight también genera registros de auditoría de seguridad para las cuentas de administrador local. Habilite estos registros de auditoría de administrador local.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Descripción del registro y de los distintos tipos de registro de Azure

• Descripción de la recopilación de datos de Microsoft Defender for Cloud

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: centralice el almacenamiento del registro de los recursos de HDInsight para su análisis. Para cada origen de registro, asegúrese de tener lo siguiente:

• Un propietario de datos asignado

• Guía de acceso

• Ubicación de almacenamiento

• Las herramientas que usa para procesar y acceder a los datos

• Requisitos de retención de datos

Asegúrese de integrar los registros de actividad de Azure en su registro central.

Ingiera los registros mediante Azure Monitor para agregar los datos de seguridad que generan los dispositivos de punto de conexión, los recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis.

Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.

Habilite e incorpore datos a Microsoft Sentinel o a un SIEM de terceros. Muchas organizaciones usan Microsoft Sentinel para los datos "calientes" de acceso frecuente y Azure Storage para los datos "fríos" que se usan con menos frecuencia.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Cómo incorporar Microsoft Sentinel

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que use para almacenar los registros de HDInsight tengan el período de retención de registros establecido según las normas de cumplimiento de la organización.

• Configuración del período de retención del área de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una cuenta de Azure Storage

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía:Microsoft mantiene los orígenes de hora de la mayoría de los servicios PaaS y SaaS de la plataforma de Azure. En el caso de las máquinas virtuales, use un servidor predeterminado del protocolo de hora de red (NTP) de Microsoft para la sincronización de hora, a menos que tenga un requisito específico. Si tiene que instalar su propio servidor NTP, asegúrese de proteger el puerto 123 del servicio UDP. Todos los registros generados por los recursos de Azure proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.

• Configuración de la sincronización de hora de los recursos de proceso de Windows de Azure

• Configuración de la sincronización de hora de los recursos de proceso de Linux de Azure

• Procedimiento para deshabilitar UDP entrante para los servicios de Azure

Responsabilidad: Compartido

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: use los alias de Azure Policy del espacio de nombres "Microsoft.HDInsight" para crear directivas personalizadas. Configure las directivas para auditar o aplicar la configuración de red del clúster de HDInsight.

Si tiene una suscripción a Rapid7, Qualys o cualquier otra plataforma de administración de vulnerabilidades, tiene opciones. Puede usar acciones de script para instalar agentes de evaluación de vulnerabilidades en los nodos del clúster de Azure HDInsight y administrar los nodos mediante el portal correspondiente.

Con Azure HDInsight ESP, puede usar Apache Ranger para crear y administrar directivas de ofuscación de datos y control de acceso específico. Puede hacerlo para los datos almacenados en:

• Archivos

• Carpetas

• Bases de datos

• Tablas

• Filas

• Columnas

El administrador de Hadoop puede configurar RBAC de Azure para proteger Apache Hive, HBase, Kafka y Spark mediante esos complementos en Apache Ranger.

• Tutorial: Creación y administración de directivas para aplicar el cumplimiento

• Instalación manual del agente de Rapid7

• Instalación manual del agente de Qualys

• Uso de acciones de script

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Azure Policy [denegar] e [impleméntela si no existe] para aplicar la configuración segura a los clústeres de Azure HDInsight y los recursos relacionados.

• Configuración y administración de Azure Policy

• Descripción de los efectos de Azure Policy

Responsabilidad: Customer

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía: las imágenes de Ubuntu estarán disponibles para la creación del clúster de HDInsight tres meses después de publicarse. Los clústeres en ejecución no se revisan automáticamente. Los clientes deben usar acciones de script u otros mecanismos para revisar un clúster en ejecución. Como procedimiento recomendado, puede ejecutar estas acciones de script y aplicar las actualizaciones de seguridad justo después de crear el clúster.

Use Microsoft Defender for Cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas las máquinas virtuales, los contenedores y otros.

• Supervisión de las recomendaciones de Microsoft Defender for Cloud

• Configuración de la programación de aplicación de revisiones del SO para clústeres de HDInsight basado en Linux

Responsabilidad: Customer

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Instrucciones: Microsoft administra y mantiene las imágenes del sistema operativo de Azure HDInsight. Sin embargo, usted es responsable de implementar la configuración de estado de nivel de sistema operativo para esa imagen.

Use Microsoft Defender for Cloud y Azure Policy para evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales y los contenedores. También puede usar estos recursos para mantener la configuración de seguridad del sistema operativo que requiere su organización:

• Plantillas de Azure Resource Manager (ARM).

• Imágenes de sistema operativo personalizadas.

• State Configuration de Azure Automation.

Las plantillas de máquina virtual de Microsoft, combinadas con State Configuration de Azure Automation, pueden ayudar a cumplir y mantener los requisitos de seguridad.

• Implementación de recomendaciones de evaluación de vulnerabilidades de Microsoft Defender for Cloud

• Creación de una máquina virtual de Azure a partir de una plantilla de Resource Manager

• Introducción a State Configuration de Azure Automation

Responsabilidad: Compartido

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía: HDInsight permite a los clientes administrar imágenes de sistema operativo o imágenes de contenedor. Use RBAC de Azure para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes personalizadas. Use una instancia de Azure Shared Image Gallery para compartir las imágenes con diferentes usuarios, entidades de servicio o grupos de Azure AD dentro de la organización. Almacene las imágenes de contenedor en Azure Container Registry y use RBAC de Azure para garantizar que solo los usuarios autorizados puedan tener acceso.

• Descripción de Azure RBAC

• Descripción de Azure RBAC para Container Registry

• Configuración de Azure RBAC

• Introducción a la galería de imágenes compartidas

Responsabilidad: Customer

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía: HDInsight puede usar una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones web. Al realizar exámenes remotos, no use una cuenta administrativa única y perpetua. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Según se requiera, exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades.

• Instalación manual del agente de Rapid7

• Instalación manual del agente de Qualys

• Personalización de los clústeres de Azure HDInsight mediante acciones de script en Azure

Responsabilidad: Customer

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía: los clústeres de HDInsight en ejecución no se revisan automáticamente. Utilice acciones de script u otros mecanismos solo para revisar un clúster en ejecución. Como procedimiento recomendado, puede ejecutar estas acciones de script y aplicar las actualizaciones de seguridad justo después de crear el clúster.

• Configuración de la programación de aplicación de revisiones del sistema operativo para clústeres de Azure HDInsight basados en Linux

• Uso de acciones de script

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Realice pruebas de penetración o ataques simulados en los recursos de Azure según sea necesario, y asegúrese de corregir todos los problemas de seguridad críticos detectados.

Siga las reglas de interacción para pruebas de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia y ejecución de ataques simulados de Microsoft. Realice pruebas de penetración de sitios en vivo contra aplicaciones, infraestructuras y servicios en la nube administrados por Microsoft.

• Pruebas de penetración en Azure

• Reglas de interacción de las pruebas de penetración

• Equipo rojo de Microsoft Cloud

Responsabilidad: Compartido

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: Uso de la detección y respuesta de puntos de conexión

Guía: Azure HDInsight no es compatible con Defender de forma nativa. Usa ClamAV. Reenvíe los registros de ClamAV a un SIEM centralizado u otro sistema de detección y alertas.

• Descripción de Clamscan

Responsabilidad: Customer

ES-2: Uso de software antimalware moderno administrado centralmente

Instrucciones: Azure HDInsight incluye Clamscan preinstalado y habilitado para las imágenes de nodo de clúster. Sin embargo, debe administrar el software y agregar o supervisar manualmente los registros generados por Clamscan.

• Descripción de Clamscan para Azure HDInsight

Responsabilidad: Customer

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Instrucciones: Azure HDInsight incluye Clamscan preinstalado y habilitado para las imágenes de nodo de clúster. Clamscan realizará automáticamente actualizaciones del motor y las definiciones y actualizará sus firmas antimalware en función de la base de datos oficial de firmas de virus de ClamAV.

• Descripción de Clamscan para Azure HDInsight

Responsabilidad: Customer

Copia de seguridad y recuperación

Para obtener más información, vea Azure Security Benchmark: Copia de seguridad y recuperación.

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía: si usa Azure Key Vault con la implementación de Azure HDInsight, pruebe periódicamente la restauración de las copias de seguridad de las claves administradas por el cliente.

• Traer su propia clave para Apache Kafka en Azure HDInsight

• Restauración de las claves de Key Vault en Azure

Responsabilidad: Customer

BR-4: Mitigación del riesgo de pérdida de claves

Guía: si usa Azure Key Vault con la implementación de Azure HDInsight, habilite la eliminación temporal en Key Vault para proteger las claves contra la eliminación accidental o malintencionada.

• Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault

Responsabilidad: Customer

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.