Línea de base de seguridad de Azure para HDInsight

Esta línea de base de seguridad aplica instrucciones de la versión 2.0 de Azure Security Benchmark a HDInsight. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a HDInsight.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-1: implementación de la seguridad para el tráfico interno

Guía: la seguridad del perímetro en Azure HDInsight se logra mediante redes virtuales. Un administrador de empresa puede crear un clúster dentro de una red virtual y usar un grupo de seguridad de red (NSG) para restringir el acceso a la red virtual. Solo las direcciones IP permitidas en las reglas de NSG de entrada pueden comunicarse con Azure HDInsight clúster. Esta configuración proporciona la seguridad del perímetro. Todos los clústeres implementados en una red virtual también tendrán un punto de conexión privado. El punto de conexión se resolverá en una dirección IP privada dentro del Virtual Network. Proporciona acceso HTTP privado a las puertas de enlace de clúster.

En función de las aplicaciones y la estrategia de segmentación empresarial, restrinja o permita el tráfico entre los recursos internos en función de las reglas de NSG. Para aplicaciones específicas y bien definidas, como una aplicación de tres niveles, puede ser una denegación altamente segura de forma predeterminada.

Puertos necesarios generalmente en todos los tipos de clústeres:

• 22-23: Acceso SSH a los recursos del clúster

• 443: Ambari, API REST de WebHCat, HiveServer ODBC y JDBC

Para obtener tipos específicos de clústeres y más detalles, revise este artículo.

Puede crear clústeres de HDInsight privados mediante la configuración de propiedades de red específicas en una plantilla de Azure Resource Manager (ARM). Hay dos propiedades que se usan para crear clústeres de HDInsight privados:

• Quite las direcciones IP públicas estableciendo la conexión del proveedor de recursos en saliente.

• Habilite Azure Private Link y use puntos de conexión privados estableciendo PrivateLink en habilitado.

Para más información, consulte las siguientes referencias:

• Creación de clústeres de HDInsight privados

• Arquitectura de Virtual Network HDInsight

• Implementación de Virtual Network HDInsight

• Seguridad de la capa de transporte en Azure HDInsight

• Control del tráfico de red en Azure HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-3: establecimiento del acceso de red privada a los servicios de Azure

Guía:use Azure Private Link para habilitar el acceso privado a HDInsight desde las redes virtuales sin cruzar Internet. El acceso privado agrega una medida de defensa en profundidad a la autenticación de Azure y a la seguridad del tráfico.

• Proteger y aislar Azure HDInsight clústeres con Private Link

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-4: protección de las aplicaciones y servicios de ataques de redes externas

Guía:Proteja los recursos de HDInsight frente a ataques de redes externas. Los ataques pueden incluir:

• Ataques de denegación de servicio distribuido (DDoS)

• Ataques específicos de la aplicación

• Tráfico de Internet no solicitado y potencialmente malintencionado

Use Azure Firewall para proteger las aplicaciones y los servicios contra el tráfico potencialmente malintencionado de Internet y otras ubicaciones externas. Proteja los recursos frente a ataques DDoS habilitando DDoS Protection Estándar en redes virtuales de Azure. Use Microsoft Defender para la nube para detectar riesgos de configuración incorrecta en recursos relacionados con la red.

• Denegar las comunicaciones con direcciones IP malintencionadas conocidas

• El uso del cifrado para proteger los datos aplica directivas integradas para Azure HDInsight

• Documentación sobre Azure Firewall

• Administración de Azure DDoS Protection estándar mediante Azure Portal

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-6: simplificación de las reglas de seguridad de red

Guía:Use etiquetas de servicio Virtual Network Azure para definir controles de acceso a la red para los recursos de HDInsight en grupos de seguridad de red o Azure Firewall. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Especifique un nombre de etiqueta de servicio como "HDInsight" en el campo de origen o destino de la regla adecuado para permitir o denegar el tráfico para el servicio. Microsoft administra los prefijos de dirección que abarca la etiqueta de servicio y actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones.

• Descripción y uso de etiquetas de servicio para Azure HDInsight

• Descripción y uso de etiquetas de servicio

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

NS-7: servicio de nombres de dominio (DNS) seguro

Guía:Siga los procedimientos recomendados para la seguridad de DNS a fin de mitigar ataques comunes como:

• DNS desenlazándose

• Ataques de amplificación dns

• Suplantación de nombres dns

Cuando use Azure DNS como servicio DNS, asegúrese de proteger las zonas DNS y los registros frente a cambios accidentales o malintencionados mediante Azure Role-Based Access Control (RBAC) y bloqueos de recursos.

• Azure HDInsight: Conectar red local

• Introducción a Azure DNS

• Guía de implementación del sistema de nombres de dominio (DNS) seguro

• Evitar las entradas DNS pendientes y la adquisición de subdominios

• Planificación de una red virtual para Azure HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía:HDInsight usa Azure AD como su servicio de administración de identidades y acceso predeterminado. Estandarizar Azure AD para regular la administración de identidades y acceso de su organización en:

• Recursos de Microsoft Cloud. Los recursos incluyen:

  • El Portal de Azure

  • Azure Storage

  • Máquinas virtuales Linux y Windows Azure

  • Azure Key Vault

  • Plataforma como servicio (PaaS)

  • Aplicaciones de software como servicio (SaaS)

• Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección Azure AD debe ser una prioridad alta para la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de identidad para ayudarle a comparar su posición de seguridad de identidad con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Configure Azure HDInsight clústeres con Enterprise Security Package (ESP). Puede conectar estos clústeres a un dominio para que los usuarios puedan usar sus credenciales de dominio para autenticarse con los clústeres. Hay tres roles integrados principales de RBAC de Azure disponibles para la administración de recursos de HDInsight:

• Lector: acceso de lectura a recursos de HDInsight, incluidos los secretos

• Operador de clúster de HDInsight: acceso de lectura y escritura a recursos de HDInsight, incluidos los secretos

• Colaborador: acceso de lectura y escritura, incluidos los secretos y la capacidad de ejecutar acciones de script

Para la seguridad de nivel de fila, Apache Ranger se puede implementar para establecer directivas de control de acceso para Hive.

• Configuración de Apache Ranger

• Configuración de clústeres de HDInsight para la integración de Azure Active Directory con Enterprise Security Package

• Inquilinos en Azure Active Directory

• Procedimiento para crear y configurar una instancia de Azure AD

• Uso de proveedores de identidades externos para una aplicación

• Migración de configuraciones de clúster de acceso pormenorizados de HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía:HDInsight admite identidades administradas para sus recursos de Azure. Use identidades administradas con HDInsight en lugar de crear entidades de servicio para acceder a otros recursos. HDInsight puede autenticarse de forma nativa en los servicios y recursos de Azure que admiten Azure AD autenticación. La autenticación se admite mediante una regla de concesión de acceso predefinida. No usa credenciales codificadas de forma automática en el código fuente ni en los archivos de configuración.

• Descripción de las identidades administradas con Azure HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía:Use Azure HDInsight ID Broker para iniciar sesión en clústeres esp mediante la autenticación multifactor, sin proporcionar contraseñas. Si ya ha iniciado sesión en otros servicios de Azure, como Azure Portal, puede iniciar sesión en el clúster de Azure HDInsight con una experiencia de sso.

• Habilitación del agente de identidad de Azure HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

IM-7: Elimine la exposición de credenciales no intencionada

Instrucciones: si usa cualquier código relacionado con la implementación de Azure HDInsight, puede implementar Credential Scanner para identificar las credenciales en el código. Credential Scanner también fomentará el traslado de las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

Por GitHub, puede usar la característica de examen de secretos nativos para identificar credenciales u otras formas de secretos dentro del código.

• Se recomienda habilitar el examen de credenciales para identificar y eliminar

• Configuración del escáner de credenciales

• Escaneo de secretos de GitHub

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía:Los roles integrados más importantes Azure AD son el administrador global y el administrador de roles con privilegios. Los usuarios con estos dos roles pueden delegar roles de administrador.

• El administrador global o el administrador de empresa tienen acceso a todas las características Azure AD y los servicios que usan Azure AD identidades.

• El administrador de roles con privilegios puede administrar las asignaciones de roles Azure AD y Azure AD Privileged Identity Management (PIM). Este rol puede administrar todos los aspectos de PIM y unidades administrativas.

Use HDInsight ESP, que tiene los siguientes roles con privilegios:

• Administrador de clústeres

• Operador de clústeres

• Administrador de servicios

• Operador de servicio

• Usuario del clúster

Cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Limite el número de cuentas o roles con privilegios elevados y proteja estas cuentas en un nivel elevado. Los usuarios con privilegios elevados pueden leer y modificar directa o indirectamente todos los recursos de Azure.

Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure Azure AD mediante Azure AD PIM. JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad para actividades sospechosas o no seguras en Azure AD organización.

• Administración Apache Hadoop clústeres en HDInsight

• Permisos de rol administrativo en Azure AD

• Uso de alertas de seguridad de Azure Privileged Identity Management

• Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD

• Protección y limitación de usuarios con privilegios elevados

• Administración de identidades

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía:HDInsight usa Azure AD para administrar sus recursos. Revise periódicamente las cuentas de usuario y las asignaciones de acceso para asegurarse de que las cuentas y su acceso son válidos. Puede usar las revisiones Azure AD acceso para revisar las pertenencias a grupos, el acceso a aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede crear flujos de trabajo de informes de revisión de acceso Azure AD PIM para facilitar el proceso de revisión.

Puede configurar Azure AD PIM para que le alerte cuando haya demasiadas cuentas de administrador. PIM puede identificar cuentas de administrador obsoletas o configuradas incorrectamente.

• Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

• Enterprise Security Package para Azure HDInsight

• Configuraciones de clúster de acceso granular de migración de HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía:Las estaciones de trabajo aisladas y protegidas son fundamentales para la seguridad de roles confidenciales, como administradores, desarrolladores y operadores de servicio críticos. Use estaciones de trabajo de usuario de alta Azure Bastion para tareas administrativas relacionadas con la administración de los recursos de HDInsight.

Use Azure AD, ATP de Microsoft Defender o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Puede administrar centralmente estaciones de trabajo protegidas para aplicar una configuración de seguridad que incluya:

• Autenticación sólida

• Líneas base de software y hardware

• Acceso lógico y de red restringido

Para más información, consulte las siguientes referencias:

• Implementación de estaciones de trabajo de acceso con privilegios

• Implementación de una estación de trabajo con privilegios de acceso

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-7: Seguir el principio de privilegios mínimos de una administración suficiente

Guía:HDInsight se integra con RBAC de Azure para administrar sus recursos. Con RBAC, puede administrar el acceso a los recursos de Azure a través de asignaciones de roles. Puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Algunos recursos tienen roles predefinidos e integrados. Puede inventariar o consultar estos roles a través de herramientas como CLI de Azure, Azure PowerShell o el Azure Portal.

Limite los privilegios que asigne a los recursos a través de RBAC de Azure a lo que requieren los roles. Esta práctica complementa el enfoque JIT de Azure AD PIM. Revise periódicamente los roles y las asignaciones.

Use roles integrados para conceder permisos y crear solo roles personalizados cuando sea necesario. HDInsight usa Apache Ranger para permitir un control más granular sobre los permisos.

• Migración a acceso basado en rol detallado para configuraciones de clúster

• Sincronización de LDAP en Ranger y Apache Ambari en Azure HDInsight

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?

• Configuración de RBAC en Azure

• Procedimiento para usar las revisiones de acceso e identidades de Azure AD

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía:en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos de los clientes, HDInsight admite Caja de seguridad del cliente. Proporciona una interfaz para que revise las solicitudes de acceso a los datos de los clientes y las apruebe o rechace.

• Descripción de la Caja de seguridad del cliente

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Guía:Use etiquetas en recursos relacionados con las implementaciones de Azure HDInsight para ayudar a realizar el seguimiento de los recursos de Azure que almacenan o procesan información confidencial. Clasificación e identificación de datos confidenciales mediante Azure Purview. Use el servicio para los datos almacenados en bases de SQL o cuentas Azure Storage asociadas al clúster de HDInsight.

Para la plataforma subyacente, que microsoft administra, Microsoft trata todo el contenido del cliente como confidencial. Microsoft hace grandes medidas para protegerse contra la pérdida y exposición de los datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Información general de Azure Purview

• Creación y uso de etiquetas

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-2: Protección de datos confidenciales

Guía: implemente suscripciones o grupos de administración independientes para los entornos de desarrollo, pruebas y producción. Debe separar los clústeres Azure HDInsight y las cuentas de almacenamiento asociadas por red virtual o subred, etiquetarlos correctamente y protegerlos dentro de un grupo de seguridad de red o Azure Firewall. Contener datos de clúster dentro de una cuenta de Azure Storage segura o de Azure Data Lake Storage (Gen1 o Gen2).

• Selección de las opciones de almacenamiento para el clúster de Azure HDInsight

• Protección de Azure Data Lake Storage

• Protección de cuentas de Azure Storage

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

DP-3: Supervisión de la transferencia no autorizada de datos confidenciales

Instrucciones: en el caso de los clústeres de Azure HDInsight que almacenan o procesan información confidencial, marque el clúster y los recursos relacionados como confidenciales mediante etiquetas. Para reducir el riesgo de pérdida de datos mediante filtración, restrinja el tráfico de red saliente de los clústeres de Azure HDInsight con Azure Firewall.

HDInsight no admite la supervisión automática para la transferencia no autorizada de datos confidenciales de forma nativa.

Para la plataforma subyacente, que microsoft administra, Microsoft trata todo el contenido del cliente como confidencial. Microsoft hace grandes medidas para protegerse contra la pérdida y exposición de los datos de los clientes. Para garantizar la seguridad de los datos de los clientes dentro de Azure, Microsoft ha implementado y mantiene un conjunto de controles y funcionalidades eficaces de protección de datos.

• Restricción del tráfico saliente para clústeres de Azure HDInsight con Azure Firewall

• Descripción de la protección de datos de los clientes en Azure

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-4: Cifrado de la información confidencial en tránsito

Guía:HDInsight admite el cifrado de datos en tránsito con TLS v1.2 o superior. Cifre toda la información confidencial en tránsito. Asegúrese de que los clientes que se conectan Azure HDInsight los almacenes de datos de clúster o clúster de Azure HDInsight (cuentas de Azure Storage o Azure Data Lake Storage Gen1/Gen2) pueden negociar TLS 1.2 o superior. De forma predeterminada, los recursos de Microsoft Azure negociarán TLS 1.2.

Para complementar los controles de acceso, proteja los datos en tránsito frente a ataques "fuera de banda", como la captura de tráfico. Use el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar SSL, TLS, versiones y protocolos SSH obsoletos y cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

• Descripción del cifrado en tránsito con Azure

• Información sobre la seguridad de TLS

• Cifrado doble para datos de Azure en tránsito

• Descripción del cifrado en tránsito de Azure Data Lake Storage

• Descripción del cifrado en tránsito de la cuenta de Azure Storage

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

DP-5: Cifrado de datos confidenciales en reposo

Guía:si usa Azure SQL Database para almacenar Apache Hive metadatos de Apache Oozie, asegúrese de que SQL datos siempre permanecen cifrados. Para Azure Storage y Data Lake Storage (Gen1 o Gen2), se recomienda permitir que Microsoft administre las claves de cifrado; sin embargo, puede administrar sus propias claves.

HDInsight admite varios tipos de cifrado en dos niveles diferentes:

• Cifrado del lado del servidor (SSE): SSE se realiza mediante el servicio de almacenamiento. En HDInsight, SSE se usa para cifrar los discos de sistema operativo y los discos de datos. Esto está habilitada de manera predeterminada. SSE es un servicio de cifrado de nivel 1.

• Cifrado en el host con una clave administrada por la plataforma: Similar a SSE, el servicio de almacenamiento realiza este tipo de cifrado. Sin embargo, solo es para discos temporales y no está habilitado de forma predeterminada. El cifrado en el host también es un servicio de cifrado de nivel 1.

• Cifrado en reposo con una clave administrada por el cliente: Este tipo de cifrado se puede usar en discos temporales y de datos. No está habilitado de forma predeterminada y requiere que el cliente proporcione su propia clave a través de Azure Key Vault. El cifrado en el host es un servicio de cifrado de nivel 2.

• Cifrado doble de datos en reposo en Azure HDInsight

• Administración de las claves de cifrado para cuentas de Azure Storage

• Creación de Azure Data Lake Storage mediante claves de cifrado administradas por el cliente

• Configuración del Cifrado de datos transparente para SQL Database mediante claves administradas por el cliente

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía:Asegúrese de conceder permisos de lector de seguridad a los equipos de seguridad en el inquilino y las suscripciones de Azure, para que puedan supervisar los riesgos de seguridad mediante Microsoft Defender para la nube.

La supervisión de los riesgos de seguridad podría ser responsabilidad de un equipo de seguridad central o un equipo local, en función de cómo e structuree las responsabilidades. Agregue siempre información de seguridad y riesgos de forma centralizada dentro de una organización.

Puede aplicar los permisos del Lector de seguridad de forma general a un grupo de administración raíz de un inquilino completo o a permisos de ámbito a suscripciones o grupos de administración específicos.

• Introducción al rol de lector de seguridad

• Información general sobre los grupos de administración de Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-2: Asegurarse de que el equipo de seguridad tiene acceso a los metadatos y al inventario de recursos

Guía:Asegúrese de que los equipos de seguridad tengan acceso a un inventario de recursos actualizado continuamente en Azure, como HDInsight. A menudo, los equipos de seguridad necesitan este inventario para evaluar la posible exposición de su organización a los riesgos emergentes y como entrada para las mejoras de seguridad continuas. Cree un Azure AD de seguridad que contenga el equipo de seguridad autorizado de la organización. Asígneles acceso de lectura a todos los recursos de HDInsight. Puede simplificar el proceso mediante una única asignación de roles de alto nivel dentro de la suscripción.

Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure con el fin de organizarlos de manera lógica en una taxonomía. Cada etiqueta consta de un nombre y un par de valores. Por ejemplo, puede aplicar el nombre "Environment" y el valor "Production" a todos los recursos en producción.

• Creación de consultas con Azure Resource Graph Explorer

• Para más información sobre el etiquetado de recursos, vea la guía de decisiones de nomenclatura y etiquetado de recursos.

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-3: Uso exclusivo de servicios de Azure aprobados

Guía: Use Azure Policy para auditar y restringir qué servicios pueden aprovisionar los usuarios en su entorno. Use Azure Resource Graph para consultar y detectar recursos dentro de las suscripciones. También puede usar Azure Monitor crear reglas para desencadenar alertas cuando detecten un servicio no aprobado.

• Configuración y administración de Azure Policy

• Denegación de un tipo de recurso específico con Azure Policy

• Creación de consultas con Azure Resource Graph Explorer

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

AM-6: Uso exclusivo de aplicaciones aprobadas en recursos de proceso

Guía:use Azure Resource Graph para consultar y detectar todos los recursos, como proceso, almacenamiento, red, puertos, protocolos, entre otros, incluidos los clústeres de Azure HDInsight, dentro de las suscripciones. Quite los recursos de Azure no aprobados que detecte. En el caso de los nodos del clúster de Azure HDInsight, implemente una solución de terceros para quitar software no aprobado o alertas al respecto.

• Creación de consultas con Azure Resource Graph

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía:Azure HDInsight no es compatible con Defender de forma nativa, usa IntercalaAV. Sin embargo, al usar ESP para HDInsight, puede usar parte de la funcionalidad de detección de amenazas integrada de Microsoft Defender para la nube. También puede habilitar Microsoft Defender para las máquinas virtuales asociadas a HDInsight.

Reenvía los registros de HDInsight a SIEM, que se pueden usar para configurar detecciones de amenazas personalizadas. Asegúrese de que está supervisando diferentes tipos de recursos de Azure para detectar posibles amenazas y anomalías. Céntrese en obtener alertas de alta calidad para reducir los falsos positivos que deben revisar los analistas. Las alertas se pueden crear a partir de datos de registro, agentes u otros datos.

• Protección contra amenazas en Microsoft Defender para la nube

• Guía de referencia de alertas de seguridad de Microsoft Defender para la nube

• Creación de reglas de análisis personalizadas para detectar amenazas

• Inteligencia sobre amenazas cibernéticas con Microsoft Sentinel

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

• Configuración del período de retención del área de trabajo de Log Analytics

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-3: Habilitación del registro para las actividades de red de Azure

Guía:Use Microsoft Defender para la nube y corrija las recomendaciones de protección de red para la red virtual, la subred y el NSG que se usan para proteger el clúster Azure HDInsight red. Habilite los registros de flujo de NSG y envíe registros a una cuenta de Azure Storage para admitir las auditorías de tráfico. También puede enviar registros de flujo de NSG a un área de trabajo de Azure Log Analytics y usar Azure Análisis de tráfico para proporcionar información sobre el flujo de tráfico en la nube de Azure. Algunas de las ventajas que azure Análisis de tráfico proporciona son la capacidad de:

• Visualice la actividad de red e identifique las zonas de acceso más populares.

• Identificar amenazas de seguridad.

• Comprender los patrones de flujo de tráfico

• Identificar errores de configuración de red.

HDInsight registra todo el tráfico de red que procesa para el acceso de los clientes. Habilite la funcionalidad de flujo de red dentro de los recursos de oferta implementados.

• Habilitación de los registros de flujo de grupos de seguridad de red

• Métricas y registros de Azure Firewall

• Habilitación y uso del Análisis de tráfico

• Supervisión con Network Watcher

• Soluciones de supervisión de redes de Azure en Azure Monitor

• Uso de los registros de Azure Monitor para supervisar clústeres de HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-4: Habilitación del registro para recursos de Azure

Guía:los registros de actividad están disponibles automáticamente. Los registros contienen todas las operaciones PUT, POST y DELETE, pero no GET, para los recursos de HDInsight, excepto las operaciones de lectura (GET). Puede usar los registros de actividad para buscar errores al solucionar problemas o para supervisar cómo los usuarios de la organización modificaron los recursos.

Habilite los registros de recursos de Azure para HDInsight. Puede usar Microsoft Defender para la nube y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro. Estos registros pueden ser críticos para investigar incidentes de seguridad y realizar ejercicios forenses.

HDInsight también genera registros de auditoría de seguridad para las cuentas de administración locales. Habilite estos registros de auditoría de administrador local.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Descripción del registro y de los distintos tipos de registro de Azure

• Información sobre la recopilación de datos de Microsoft Defender para la nube

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía:Centralice el almacenamiento de registro de los recursos de HDInsight para su análisis. Para cada origen de registro, asegúrese de que tiene:

• Propietario de datos asignado

• Guía de acceso

• Ubicación de almacenamiento

• Las herramientas que se usan para procesar y acceder a los datos

• Requisitos de retención de datos

Asegúrese de integrar los registros de actividad de Azure en el registro central.

La ingesta de registros a Azure Monitor para agregar datos de seguridad que generan los dispositivos de punto de conexión, los recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para consultar y realizar análisis.

Use cuentas de Azure Storage para el almacenamiento de archivos y a largo plazo.

Habilite e incorpore datos a Microsoft Sentinel o a un SIEM de terceros. Muchas organizaciones usan Microsoft Sentinel para los datos "frecuentes" que usan con frecuencia y Azure Storage para los datos "fríos" que usan con menos frecuencia.

• Recopilación de registros y métricas de plataforma con Azure Monitor

• Incorporación de Microsoft Sentinel

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-6: Configuración de la retención del almacenamiento de registros

Guía:Asegúrese de que las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que use para almacenar registros de HDInsight tengan períodos de retención de registros establecidos según las regulaciones de cumplimiento de su organización.

• Configuración del período de retención del área de trabajo de Log Analytics

• Almacenamiento de registros de recursos en una cuenta de Azure Storage

• Incorporación de un clúster de Azure HDInsight a Azure Monitor

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía:Microsoft mantiene orígenes de hora para la mayoría de los servicios PaaS y SaaS de la plataforma Azure. Para las máquinas virtuales, use un servidor ntp (protocolo de tiempo de red) predeterminado de Microsoft para la sincronización de la hora, a menos que tenga un requisito específico. Si necesita configurar su propio servidor NTP, asegúrese de proteger el puerto de servicio UDP 123. Todos los registros generados por los recursos de Azure proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.

• Configuración de la sincronización de hora de los recursos de proceso de Windows de Azure

• Configuración de la sincronización de hora de los recursos de proceso de Linux de Azure

• Procedimiento para deshabilitar UDP entrante para los servicios de Azure

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía:Use Azure Policy alias en el espacio de nombres "Microsoft.HDInsight" para crear directivas personalizadas. Configure las directivas para auditar o aplicar la configuración de red del clúster de HDInsight.

Si tiene una suscripción a la plataforma rápida 7, Qualys o cualquier administración de vulnerabilidades suscripción a la plataforma, tiene opciones. Puede usar acciones de script para instalar agentes de evaluación de vulnerabilidades en los nodos Azure HDInsight clúster y administrar los nodos a través del portal correspondiente.

Con Azure HDInsight ESP, puede usar Apache Ranger para crear y administrar directivas de ofuscación de datos y control de acceso específicos. Puede hacerlo para los datos almacenados en:

• Archivos

• Carpetas

• Bases de datos

• Tablas

• Filas

• Columnas

El administrador de Hadoop puede configurar RbAC de Azure para proteger Apache Hive, HBase, Kafka y Spark mediante esos complementos en Apache Ranger.

• Tutorial: Creación y administración de directivas para aplicar el cumplimiento

• Instalación manual del agente de Rapid7

• Instalación manual del agente de Qualys

• Uso de acciones de script

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: use Azure Policy [denegar] e [impleméntela si no existe] para aplicar la configuración segura a los clústeres de Azure HDInsight y los recursos relacionados.

• Configuración y administración de Azure Policy

• Descripción de los efectos de Azure Policy

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-3: establecimiento de configuraciones seguras para los recursos de proceso

Guía:Las imágenes de Ubuntu estarán disponibles para la creación Azure HDInsight clúster en un plazo de tres meses después de su publicación. Los clústeres en ejecución no tienen un bloqueo automático. Los clientes deben usar acciones de script u otros mecanismos para revisar un clúster en ejecución. Como procedimiento recomendado, puede ejecutar estas acciones de script y aplicar actualizaciones de seguridad justo después de la creación del clúster.

Use Microsoft Defender para cloud y Azure Policy para establecer configuraciones seguras en todos los recursos de proceso, incluidas máquinas virtuales, contenedores y otros.

• Supervisión de recomendaciones de Microsoft Defender para la nube

• Configuración de la programación de aplicación de revisiones del SO para clústeres de HDInsight basado en Linux

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-4: sostenimiento de configuraciones seguras para los recursos de proceso

Instrucciones: Microsoft administra y mantiene las imágenes del sistema operativo de Azure HDInsight. Sin embargo, usted es responsable de implementar la configuración de estado de nivel de sistema operativo para esa imagen.

Use Microsoft Defender para la nube y Azure Policy evaluar y corregir periódicamente los riesgos de configuración en los recursos de proceso de Azure, incluidas las máquinas virtuales y los contenedores. También puede usar estos recursos para mantener la configuración de seguridad del sistema operativo que requiere su organización:

• Azure Resource Manager (ARM).

• Imágenes de sistema operativo personalizadas.

• Azure Automation de estado.

Las plantillas de máquina virtual de Microsoft Azure Automation State Configuration pueden ayudar a cumplir y mantener los requisitos de seguridad.

• Implementación de recomendaciones de evaluación de vulnerabilidades de Microsoft Defender para la nube

• Creación de una máquina virtual de Azure a partir de una plantilla de Resource Manager

• Introducción a State Configuration de Azure Automation

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

PV-5: Almacenamiento seguro de las imágenes de contenedor y de sistema operativo personalizadas

Guía:HDInsight permite a los clientes administrar imágenes de sistema operativo o imágenes de contenedor. Use RBAC de Azure para asegurarse de que solo los usuarios autorizados puedan acceder a las imágenes personalizadas. Use una instancia de Azure Shared Image Gallery compartir las imágenes con distintos usuarios, entidades de servicio o grupos Azure AD de su organización. Almacene imágenes de contenedor en Azure Container Registry y use RBAC de Azure para asegurarse de que solo los usuarios autorizados tienen acceso.

• Descripción de Azure RBAC

• Descripción de Azure RBAC para Container Registry

• Configuración de Azure RBAC

• Introducción a la galería de imágenes compartidas

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-6: Realización de evaluaciones de vulnerabilidad de software

Guía:HDInsight puede usar una solución de terceros para realizar evaluaciones de vulnerabilidades en dispositivos de red y aplicaciones web. Al realizar exámenes remotos, no use una única cuenta administrativa perpetuos. Considere la posibilidad de implementar la metodología de aprovisionamiento JIT para la cuenta de examen. Las credenciales de la cuenta de examen deben protegerse, supervisarse y utilizarse solo para el examen de vulnerabilidades.

Según se requiera, exporte los resultados de análisis en intervalos coherentes y compare los resultados con análisis anteriores para comprobar que se han corregido las vulnerabilidades.

• Instalación manual del agente de Rapid7

• Instalación manual del agente de Qualys

• Uso de acciones de script

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-7: corrección rápida y automática de vulnerabilidades de software

Guía:La ejecución de clústeres de HDInsight no se ejecuta automáticamente. Use solo acciones de script u otros mecanismos para aplicar revisiones a un clúster en ejecución. Como procedimiento recomendado, puede ejecutar estas acciones de script y aplicar las actualizaciones de seguridad justo después de crear el clúster.

• Configuración de la programación de aplicación de revisiones del sistema operativo para clústeres de Azure HDInsight basados en Linux

• Uso de acciones de script

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

PV-8: realización de una simulaciones de ataques periódicas

Guía:Realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure según sea necesario y asegúrese de corregir todos los resultados de seguridad críticos.

Siga las reglas de compromiso de las pruebas de penetración en la nube de Microsoft para asegurarse de que las pruebas de penetración no infringen las directivas de Microsoft. Use la estrategia y la ejecución de Red Teaming de Microsoft. Realice pruebas de penetración de sitios en vivo en aplicaciones, servicios y infraestructuras en la nube administradas por Microsoft.

• Pruebas de penetración en Azure

• Reglas de interacción de las pruebas de penetración

• Equipo rojo de Microsoft Cloud

Responsabilidad: Compartido

Microsoft Defender para la supervisión en la nube:Ninguno

seguridad de los puntos de conexión

Para más información, consulte Azure Security Benchmark: seguridad de los puntos de conexión.

ES-1: Uso de la detección y respuesta de puntos de conexión

Guía:Azure HDInsight no admite Defender de forma nativa. Usa IntercalaAV. Reenvía los registros de SusAV a un SIEM centralizado u otro sistema de detección y alertas.

• Descripción de Clamscan

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

ES-2: Uso de software antimalware moderno administrado centralmente

Instrucciones: Azure HDInsight incluye Clamscan preinstalado y habilitado para las imágenes de nodo de clúster. Sin embargo, debe administrar el software y agregar o supervisar manualmente los registros generados por Quescan.

• Descripción de Clamscan para Azure HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

ES-3: Asegúrese de que se han actualizado el software y las firmas antimalware

Instrucciones: Azure HDInsight incluye Clamscan preinstalado y habilitado para las imágenes de nodo de clúster. Intercalascan realizará actualizaciones de motor y definición automáticamente y actualizará sus firmas antimalware en función de la base de datos oficial de firmas de virus deRepav.

• Descripción de Clamscan para Azure HDInsight

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Copia de seguridad y recuperación

Para obtener más información, vea Azure Security Benchmark: Copia de seguridad y recuperación.

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Guía:si usa la Azure Key Vault con la implementación Azure HDInsight, pruebe periódicamente la restauración de las claves administradas por el cliente de las que se ha hecho una copia de seguridad.

• Traer su propia clave para Apache Kafka en Azure HDInsight

• Restauración de las claves de Key Vault en Azure

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

BR-4: Mitigación del riesgo de pérdida de claves

Guía:si usa Azure Key Vault implementación de Azure HDInsight, habilite la eliminación automática en Key Vault para proteger las claves frente a eliminaciones accidentales o malintencionadas.

• Procedimiento para habilitar la eliminación temporal y la protección de purga en Key Vault

Responsabilidad: Customer

Microsoft Defender para la supervisión en la nube:Ninguno

Pasos siguientes

• Consulte la Información general sobre Azure Security Benchmark V2.
• Obtenga más información sobre las líneas de base de seguridad de Azure.