A HDInsight azure-beli biztonsági alapkonfigurációja
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a HDInsightra. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a HDInsightra vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A HDInsightra nem alkalmazható funkciók ki lettek zárva. A HDInsight teljes felhőbiztonsági teljesítménytesztjének megtekintéséhez tekintse meg a TELJES HDInsight biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja a HDInsight nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Elemzés |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Csak olvasási engedély |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Tárolja az inaktív ügyféltartalmakat | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure HDInsight peremhálózati biztonsága virtuális hálózatokon keresztül érhető el. A vállalati rendszergazdák létrehozhatnak egy fürtöt egy virtuális hálózaton belül, és hálózati biztonsági csoport (NSG) használatával korlátozhatják a virtuális hálózathoz való hozzáférést.
Konfigurációs útmutató: Helyezze üzembe a szolgáltatást egy virtuális hálózaton. Rendeljen magánhálózati IP-címeket az erőforráshoz (ha van ilyen), kivéve, ha komoly oka van a nyilvános IP-címek közvetlen hozzárendelésének az erőforráshoz.
Megjegyzés: Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat az NSG-szabályok alapján. Bizonyos, jól definiált alkalmazások, például a háromrétegű alkalmazások esetében ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet.
Referencia: Virtuális hálózat tervezése az Azure HDInsighthoz
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure HDInsight peremhálózati biztonsága virtuális hálózatokon keresztül érhető el. A vállalati rendszergazdák létrehozhatnak egy fürtöt egy virtuális hálózaton belül, és hálózati biztonsági csoport (NSG) használatával korlátozhatják a virtuális hálózathoz való hozzáférést. Csak a bejövő NSG-szabályokban engedélyezett IP-címek tudnak kommunikálni az Azure HDInsight-fürttel. Ez a konfiguráció szegélyhálózati biztonságot nyújt. A virtuális hálózaton üzembe helyezett összes fürtnek privát végpontja is lesz. A végpont egy privát IP-címre lesz feloldva a Virtual Network belül. Privát HTTP-hozzáférést biztosít a fürtátjárókhoz.
Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat az NSG-szabályok alapján. Bizonyos, jól definiált alkalmazások, például a háromrétegű alkalmazások esetében ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet.
Általában minden fürttípushoz szükséges portok:
22–23 – SSH-hozzáférés a fürterőforrásokhoz
443 – Ambari, WebHCat REST API, HiveServer ODBC és JDBC
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy monitorozhatja a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozásával korlátozhatja a szolgáltatás nyitott portjait (például megakadályozhatja, hogy a felügyeleti portok nem megbízható hálózatokról férjenek hozzá). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Referencia: Hálózati forgalom szabályozása az Azure HDInsightban
NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Azure Private Link
Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Azure Private Link használatával privát hozzáférést engedélyezhet a HDInsighthoz a virtuális hálózatokról anélkül, hogy átküldi az internetet. A privát hozzáférés egy részletes védelmi intézkedést ad hozzá az Azure-hitelesítéshez és a forgalombiztonsághoz.
Konfigurációs útmutató: Helyezzen üzembe privát végpontokat az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, hogy privát hozzáférési pontot hozzon létre az erőforrások számára.
Megjegyzés: A Azure Private Link használatával az internet átlépése nélkül engedélyezheti a HDInsighthoz való privát hozzáférést a virtuális hálózatokról. A privát hozzáférés egy részletes védelmi intézkedést ad hozzá az Azure-hitelesítéshez és a forgalombiztonsághoz.
Referencia: Private Link engedélyezése HDInsight-fürtön
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáférés kapcsolójának használatával.
Referencia: Nyilvános kapcsolat korlátozása az Azure HDInsightban
Identitáskezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: A vállalati biztonság áttekintése az Azure HDInsightban
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Szolgáltatásjegyzetek: HDI-fürt létrehozásakor két helyi rendszergazdai fiók jön létre az adatsíkon (Apache Ambari). Az egyik annak a felhasználónak felel meg, akinek a hitelesítő adatait a fürt létrehozója átadja. A másikat a HDI vezérlősík hozza létre. A HDI-vezérlősík ezt a fiókot használja adatsík-hívások indításához. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Adatsík feltételes hozzáférése
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Szolgáltatásjegyzetek: HDI-fürt létrehozásakor két helyi rendszergazdai fiók jön létre az adatsíkon (Apache Ambari). Az egyik annak a felhasználónak felel meg, akinek a hitelesítő adatait a fürt létrehozója átadja. A másikat a HDI vezérlősík hozza létre. A HDI-vezérlősík ezt a fiókot használja adatsík-hívások indításához. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Az adatsík csak az Ambari-alapú szerepköröket támogatja. A finomított ACL a Rangeren keresztül történik.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzései: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, a HDInsight támogatja az Ügyfélszéfet. Lehetővé teszi, hogy áttekintse az ügyfelek adathozzáférési kéréseit, és jóváhagyja vagy elutasítsa azokat.
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Referencia: Ügyfélszéf a Microsoft Azure-hoz
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure HDInsight üzemelő példányaival kapcsolatos erőforrások címkéivel nyomon követheti a bizalmas adatokat tároló vagy feldolgozó Azure-erőforrásokat. Bizalmas adatok besorolása és azonosítása a Microsoft Purview használatával. Használja a szolgáltatást a HDInsight-fürthöz társított SQL-adatbázisokban vagy Azure Storage-fiókokban tárolt adatokhoz.
A Microsoft által kezelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasnak kezel. A Microsoft nagy terjedelmű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az azure-beli ügyféladatok biztonságban maradjanak, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.
Konfigurációs útmutató: Olyan eszközökkel, mint az Azure Purview, az Azure Information Protection és a Azure SQL Data Discovery and Classification, központilag vizsgálhatja, osztályozhatja és címkézheti az Azure-ban, a helyszínen, a Microsoft 365-ben vagy más helyeken található bizalmas adatokat.
Referencia: Azure-ügyféladatok védelme
DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Funkciójegyzetek: A HDInsight támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során. Titkosítsa az összes bizalmas információt az átvitel során. Győződjön meg arról, hogy az Azure HDInsight-fürthöz vagy -fürtadattárakhoz (Azure Storage-fiókok vagy Azure Data Lake Storage Gen1/Gen2) csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. A Microsoft Azure-erőforrások alapértelmezés szerint egyeztetik a TLS 1.2-t.
A hozzáférés-vezérlés kiegészítéseként védje az átvitel alatt álló adatokat a "sávon kívüli" támadásokkal, például a forgalomrögzítéssel szemben. Titkosítással győződjön meg arról, hogy a támadók nem tudják könnyen olvasni vagy módosítani az adatokat.
Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-t, TLS-t, SSH-verziókat és protokollokat, valamint a gyenge titkosításokat.
Konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyekbe beépített natív adattitkosítási funkció van beépítve. A HTTPS kényszerítése minden webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távfelügyeletéhez titkosítás nélküli protokoll helyett használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén).
Megjegyzés: A HDInsight támogatja az adattitkosítást átvitel közben a TLS 1.2-s vagy újabb verziójával. Titkosítsa az összes bizalmas információt az átvitel során. Győződjön meg arról, hogy az Azure HDInsight-fürthöz vagy -fürtadattárakhoz (Azure Storage-fiókok vagy Azure Data Lake Storage Gen1/Gen2) csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. A Microsoft Azure-erőforrások alapértelmezés szerint egyeztetik a TLS 1.2-t.
A hozzáférés-vezérlés kiegészítéseként védje az átvitel alatt álló adatokat a "sávon kívüli" támadásokkal, például a forgalomrögzítéssel szemben. Titkosítással győződjön meg arról, hogy a támadók nem tudják könnyen olvasni vagy módosítani az adatokat.
Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-t, TLS-t, SSH-verziókat és protokollokat, valamint a gyenge titkosításokat.
Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Funkció megjegyzései: Ha Azure SQL Database-t használ az Apache Hive és az Apache Oozie metaadatainak tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoftnak a titkosítási kulcsok kezelését, azonban ön kezelheti a saját kulcsait.
A HDInsight két különböző rétegben támogatja a titkosítás több típusát:
Kiszolgálóoldali titkosítás (SSE) – Az SSE-t a tárolási szolgáltatás hajtja végre. A HDInsightban az SSE az operációsrendszer-lemezek és adatlemezek titkosítására szolgál. Alapértelmezés szerint engedélyezve van. Az SSE egy 1. rétegbeli titkosítási szolgáltatás.
Titkosítás a gazdagépen platform által felügyelt kulccsal – Az SSE-hez hasonlóan ezt a titkosítási típust a tárolási szolgáltatás végzi el. Ez azonban csak ideiglenes lemezekre vonatkozik, és alapértelmezés szerint nincs engedélyezve. A gazdagépen történő titkosítás egyben egy 1. rétegbeli titkosítási szolgáltatás is.
Inaktív titkosítás ügyfél által kezelt kulccsal – Ez a titkosítási típus használható adatokon és ideiglenes lemezeken. Alapértelmezés szerint nincs engedélyezve, és megköveteli, hogy az ügyfél saját kulcsot adjon meg az Azure Key Vaulton keresztül. A inaktív adatok titkosítása egy 2. rétegbeli titkosítási szolgáltatás.
Konfigurációs útmutató: Inaktív adatok titkosításának engedélyezése platform által felügyelt (Microsoft által felügyelt) kulcsokkal, ahol a szolgáltatás nem konfigurálja automatikusan.
Megjegyzés: Ha Azure SQL Database-t használ az Apache Hive és az Apache Oozie metaadatainak tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoftnak a titkosítási kulcsok kezelését, azonban ön kezelheti a saját kulcsait.
A HDInsight két különböző rétegben támogatja a titkosítás több típusát:
Kiszolgálóoldali titkosítás (SSE) – Az SSE-t a tárolási szolgáltatás hajtja végre. A HDInsightban az SSE az operációsrendszer-lemezek és adatlemezek titkosítására szolgál. Alapértelmezés szerint engedélyezve van. Az SSE egy 1. rétegbeli titkosítási szolgáltatás.
Titkosítás a gazdagépen platform által felügyelt kulccsal – Az SSE-hez hasonlóan ezt a titkosítási típust a tárolási szolgáltatás végzi el. Ez azonban csak ideiglenes lemezekre vonatkozik, és alapértelmezés szerint nincs engedélyezve. A gazdagépen történő titkosítás egyben egy 1. rétegbeli titkosítási szolgáltatás is.
Inaktív titkosítás ügyfél által kezelt kulccsal – Ez a titkosítási típus használható adatokon és ideiglenes lemezeken. Alapértelmezés szerint nincs engedélyezve, és megköveteli, hogy az ügyfél saját kulcsot adjon meg az Azure Key Vaulton keresztül. A inaktív adatok titkosítása egy 2. rétegbeli titkosítási szolgáltatás.
Referencia: Az Azure HDInsight kettős titkosítása inaktív adatokhoz
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Funkció megjegyzései: Ha Azure SQL Database-t használ az Apache Hive és az Apache Oozie metaadatainak tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoftnak a titkosítási kulcsok kezelését, azonban ön kezelheti a saját kulcsait.
A HDInsight két különböző rétegben támogatja a titkosítás több típusát:
Kiszolgálóoldali titkosítás (SSE) – Az SSE-t a tárolási szolgáltatás hajtja végre. A HDInsightban az SSE az operációsrendszer-lemezek és adatlemezek titkosítására szolgál. Alapértelmezés szerint engedélyezve van. Az SSE egy 1. rétegbeli titkosítási szolgáltatás.
Titkosítás a gazdagépen platform által felügyelt kulccsal – Az SSE-hez hasonlóan ezt a titkosítási típust a tárolási szolgáltatás végzi el. Ez azonban csak ideiglenes lemezekre vonatkozik, és alapértelmezés szerint nincs engedélyezve. A gazdagépen történő titkosítás egyben egy 1. rétegbeli titkosítási szolgáltatás is.
Inaktív titkosítás ügyfél által kezelt kulccsal – Ez a titkosítási típus használható adatokon és ideiglenes lemezeken. Alapértelmezés szerint nincs engedélyezve, és megköveteli, hogy az ügyfél saját kulcsot adjon meg az Azure Key Vaulton keresztül. A inaktív adatok titkosítása egy 2. rétegbeli titkosítási szolgáltatás.
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
Megjegyzés: Ha Azure SQL Database-t használ az Apache Hive és az Apache Oozie metaadatainak tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoftnak a titkosítási kulcsok kezelését, azonban ön kezelheti a saját kulcsait.
A HDInsight két különböző rétegben támogatja a titkosítás több típusát:
Kiszolgálóoldali titkosítás (SSE) – Az SSE-t a tárolási szolgáltatás hajtja végre. A HDInsightban az SSE az operációsrendszer-lemezek és adatlemezek titkosítására szolgál. Alapértelmezés szerint engedélyezve van. Az SSE egy 1. rétegbeli titkosítási szolgáltatás.
Titkosítás a gazdagépen platform által felügyelt kulccsal – Az SSE-hez hasonlóan ezt a titkosítási típust a tárolási szolgáltatás végzi el. Ez azonban csak ideiglenes lemezekre vonatkozik, és alapértelmezés szerint nincs engedélyezve. A gazdagépen történő titkosítás egyben egy 1. rétegbeli titkosítási szolgáltatás is.
Inaktív titkosítás ügyfél által kezelt kulccsal – Ez a titkosítási típus használható adatokon és ideiglenes lemezeken. Alapértelmezés szerint nincs engedélyezve, és megköveteli, hogy az ügyfél saját kulcsot adjon meg az Azure Key Vaulton keresztül. A inaktív adatok titkosítása egy 2. rétegbeli titkosítási szolgáltatás.
Referencia: Az Azure HDInsight kettős titkosítása inaktív adatokhoz
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Funkció megjegyzései: Ha Azure SQL Database-t használ az Apache Hive és az Apache Oozie metaadatainak tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoftnak a titkosítási kulcsok kezelését, azonban ön kezelheti a saját kulcsait.
A HDInsight két különböző rétegben támogatja a titkosítás több típusát:
Kiszolgálóoldali titkosítás (SSE) – Az SSE-t a tárolási szolgáltatás hajtja végre. A HDInsightban az SSE az operációsrendszer-lemezek és adatlemezek titkosítására szolgál. Alapértelmezés szerint engedélyezve van. Az SSE egy 1. rétegbeli titkosítási szolgáltatás.
Titkosítás a gazdagépen platform által felügyelt kulccsal – Az SSE-hez hasonlóan ezt a titkosítási típust a tárolási szolgáltatás végzi el. Ez azonban csak ideiglenes lemezekre vonatkozik, és alapértelmezés szerint nincs engedélyezve. A gazdagépen történő titkosítás egyben egy 1. rétegbeli titkosítási szolgáltatás is.
Inaktív titkosítás ügyfél által kezelt kulccsal – Ez a titkosítási típus használható adatokon és ideiglenes lemezeken. Alapértelmezés szerint nincs engedélyezve, és megköveteli, hogy az ügyfél saját kulcsot adjon meg az Azure Key Vaulton keresztül. A inaktív adatok titkosítása egy 2. rétegbeli titkosítási szolgáltatás.
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Megjegyzés: Ha azure Key Vault használ az Azure HDInsight üzembe helyezésével, rendszeresen tesztelje az ügyfél által felügyelt biztonsági mentési kulcsok visszaállítását.
Referencia: Az Azure HDInsight kettős titkosítása inaktív adatokhoz
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure HDInsight kettős titkosítása inaktív adatokhoz
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Egyéni szabályzatok létrehozásához használja Azure Policy aliasokat a "Microsoft.HDInsight" névtérben. Konfigurálja a szabályzatokat a HDInsight-fürt hálózati konfigurációjának naplózásához vagy kényszerítéséhez.
Ha Rapid7, Qualys vagy bármely más biztonságirés-kezelési platform előfizetéssel rendelkezik, lehetősége van rá. Szkriptműveletekkel sebezhetőségi felmérési ügynököket telepíthet az Azure HDInsight-fürtcsomópontokra, és kezelheti a csomópontokat a megfelelő portálon keresztül.
Az Azure HDInsight ESP-vel az Apache Rangerrel hozhat létre és kezelhet részletes hozzáférés-vezérlési és adatelfedési szabályzatokat. Ezt a következő helyen tárolt adatok esetében teheti meg: Fájlok/Mappák/Adatbázisok/Táblák/Sorok/Oszlopok.
A Hadoop-rendszergazda konfigurálhatja az Azure RBAC-t az Apache Hive, a HBase, a Kafka és a Spark védelmére az Apache Ranger ezen beépülő moduljaival.
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Referencia: Azure Policy beépített definíciók az Azure HDInsighthoz
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Funkciók
Microsoft Defender a felhőhöz – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja, hogy milyen ügyfélalkalmazások futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkció megjegyzései: Az Azure HDInsight natív módon nem támogatja a Defendert; azonban a ClamAV-t használja. Emellett a HDInsighthoz készült ESP használatakor használhatja a felhőalapú beépített fenyegetésészlelési Microsoft Defender némelyikét. A HDInsighthoz társított virtuális gépek Microsoft Defender is engedélyezheti.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A tevékenységnaplók automatikusan elérhetők. A naplók tartalmazzák a HDInsight-erőforrások összes PUT, POST és DELETE műveletét, de a GET-et nem, kivéve az olvasási műveleteket (GET). A tevékenységnaplókkal hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet felhasználói hogyan módosították az erőforrásokat.
Engedélyezze az Azure-erőforrásnaplókat a HDInsighthoz. A felhőhöz és a Azure Policy Microsoft Defender használatával engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatok elvégzéséhez.
A HDInsight biztonsági auditnaplókat is készít a helyi felügyeleti fiókokhoz. Engedélyezze ezeket a helyi rendszergazdai auditnaplókat.
Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a szolgáltatáshoz. Például Key Vault támogatja a további erőforrásnaplókat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy Azure SQL olyan erőforrásnaplókkal rendelkezik, amelyek nyomon követik az adatbázisra irányuló kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: HDInsight-fürt naplóinak kezelése
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Állapot- és biztonságirés-kezelés.
PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása
Funkciók
Azure Automation State Configuration
Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzései: Az Azure HDInsight operációsrendszer-lemezképeit a Microsoft kezeli és tartja karban. Az ügyfél azonban felelős a rendszerkép operációsrendszer-szintű állapotkonfigurációjának implementálásáért. A Microsoft virtuálisgép-sablonok Azure Automation State Configuration kombinálva segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.
Konfigurációs útmutató: Az operációs rendszer biztonsági konfigurációjának fenntartása Azure Automation State Configuration használatával.
Referencia: Azure Automation State Configuration áttekintése
Azure Policy vendégkonfigurációs ügynök
Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy üzembe helyezhető a számítási erőforrások bővítményeként. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Az Azure Automanage gépkonfigurációs funkciójának ismertetése
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Egyéni tárolók lemezképe
Leírás: A szolgáltatás támogatja a felhasználó által megadott tárolórendszerképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PV-5: Sebezhetőségi felmérések végrehajtása
Funkciók
Sebezhetőségi felmérés Microsoft Defender használatával
Leírás: A szolgáltatás biztonságirés-vizsgálatot végezhet a felhőhöz készült Microsoft Defender vagy más Microsoft Defender szolgáltatások beágyazott sebezhetőségi felmérési funkciójával (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Az Azure HDInsight nem támogatja natív módon a biztonságirés-felmérés Microsoft Defender, hanem a ClamAV-t használja a kártevők elleni védelemhez. A HDInsighthoz készült ESP használatakor azonban használhatja a felhőalapú beépített fenyegetésészlelési Microsoft Defender némelyikét. A HDInsighthoz társított virtuális gépek Microsoft Defender is engedélyezheti.
A HDInsightból származó naplókat továbbíthatja a SIEM-nek, amelyekkel egyéni fenyegetésészleléseket állíthat be. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a potenciális fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves pozitívumokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.
Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud ajánlásait az Azure-beli virtuális gépeken, tárolórendszerképeken és SQL-kiszolgálókon végzett sebezhetőségi felmérésekhez.
Megjegyzés: Az Azure HDInsight nem támogatja natív módon a Defendert, hanem ClamAV-t használ. A HDInsighthoz készült ESP használatakor azonban használhatja a felhőalapú beépített fenyegetésészlelési Microsoft Defender némelyikét. A HDInsighthoz társított virtuális gépek Microsoft Defender is engedélyezheti.
A HDInsightból származó naplókat továbbíthatja a SIEM-nek, amelyekkel egyéni fenyegetésészleléseket állíthat be. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a potenciális fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves pozitívumokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.
PV-6: A biztonsági rések gyors és automatikus elhárítása
Funkciók
Azure Automation – Frissítéskezelés
Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Megosztott |
Funkciójegyzetek: Az Ubuntu-rendszerképek a közzétételt követő három hónapon belül elérhetővé válnak az új Azure HDInsight-fürt létrehozásához. A futó fürtök nincsenek automatikusan beszúrva. Az ügyfeleknek szkriptműveleteket vagy más mechanizmusokat kell használniuk a futó fürtök javításához. Ajánlott eljárásként futtathatja ezeket a szkriptműveleteket, és közvetlenül a fürt létrehozása után alkalmazhat biztonsági frissítéseket.
Konfigurációs útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows- és Linux rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy Windows Update engedélyezve van, és automatikus frissítésre van beállítva.
Megjegyzés: Az Ubuntu-rendszerképek a közzétételt követő három hónapon belül elérhetővé válnak az új Azure HDInsight-fürt létrehozásához. A futó fürtök nem automatikusan jelennek meg. Az ügyfeleknek szkriptműveleteket vagy más mechanizmusokat kell használniuk a futó fürtök javításához. Ajánlott eljárásként futtathatja ezeket a szkriptműveleteket, és közvetlenül a fürt létrehozása után alkalmazhat biztonsági frissítéseket.
Referencia: Az Update Management áttekintése
Végpontbiztonság
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság című témakörben talál.
ES-1: Végpontészlelés és -válasz használata (EDR)
Funkciók
EDR-megoldás
Leírás: A végpontészlelés és -válasz (EDR) funkció, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Az Azure HDInsight nem támogatja natív módon Végponthoz készült Microsoft Defender, a ClamAV-t használja a kártevők elleni védelemhez.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Letilthatom Clamscan a fürtöt?
ES-2: Modern kártevőirtó szoftverek használata
Funkciók
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender telepíthető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Az Azure HDInsight ClamAV-t használ. Továbbítja a ClamAV-naplókat egy központi SIEM-nek vagy más észlelési és riasztási rendszernek.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Biztonság és tanúsítványok
ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása
Funkciók
Kártevőirtó megoldás állapotmonitorozása
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Szolgáltatásjegyzetek: Az Azure HDInsighthoz előre telepítve és engedélyezve van a fürtcsomópont lemezképeihez tartozó Clamscan. A Clamscan automatikusan elvégzi a motor- és definíciófrissítéseket, és frissíti a kártevőirtó aláírásokat a ClamAV hivatalos vírusaláírási adatbázisa alapján.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Biztonság és tanúsítványok
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem Azure Backup). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A HBase-exportálás és a HBase-replikáció gyakori módja a HDInsight HBase-fürtök közötti üzletmenet-folytonosság engedélyezésének.
A HBase Export egy kötegelt replikációs folyamat, amely a HBase Export Utility használatával exportál táblákat az elsődleges HBase-fürtből a mögöttes Azure Data Lake Storage Gen 2-tárolóba. Az exportált adatok ezután elérhetők a másodlagos HBase-fürtből, és importálhatók olyan táblákba, amelyeknek a másodlagos helyen már létezniük kell. Bár a HBase Export táblaszintű részletességet biztosít, növekményes frissítési helyzetekben az exportálási automatizálási motor szabályozza az egyes futtatásba belefoglalandó növekményes sorok tartományát.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Referencia: Biztonsági mentés és replikáció beállítása az Apache HBase-hez és az Apache Phoenixhez a HDInsighton
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről