Azure biztonsági alapkonfiguráció a HDInsighthoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a HDInsightra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a HDInsightra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A HDInsightra nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy a HDInsight hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes HDInsight biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Az Azure HDInsight szegélyhálózati biztonsága virtuális hálózatokon keresztül érhető el. A vállalati rendszergazdák létrehozhatnak egy fürtöt egy virtuális hálózaton belül, és egy hálózati biztonsági csoport (NSG) használatával korlátozhatják a virtuális hálózathoz való hozzáférést. Csak a bejövő NSG-szabályokban engedélyezett IP-címek kommunikálhatnak az Azure HDInsight-fürttel. Ez a konfiguráció szegélyhálózati biztonságot nyújt. A virtuális hálózaton üzembe helyezett összes fürtnek privát végpontja is lesz. A végpont egy privát IP-címre lesz feloldva a Virtual Network belül. Privát HTTP-hozzáférést biztosít a fürtátjárókhoz.

Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat az NSG-szabályok alapján. Adott, jól definiált alkalmazások, például háromszintű alkalmazások esetén ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet.

Általában minden fürttípushoz szükséges portok:

  • 22–23 – SSH-hozzáférés a fürterőforrásokhoz

  • 443 – Ambari, WebHCat REST API, HiveServer ODBC és JDBC

A fürttípusokról és további részletekről ebben a cikkben olvashat.

Privát HDInsight-fürtöket úgy hozhat létre, hogy meghatározott hálózati tulajdonságokat konfigurál egy Azure Resource Manager (ARM) sablonban. Privát HDInsight-fürtök létrehozásához két tulajdonság használható:

  • Távolítsa el a nyilvános IP-címeket az erőforrás-szolgáltató kimenő kapcsolatának beállításával.

  • Engedélyezze a Azure Private Link és használja a privát végpontokat a PrivateLink engedélyezésével.

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: A Azure Private Link használatával az internet átlépése nélkül engedélyezheti a HDInsight privát elérését a virtuális hálózatokról. A privát hozzáférés egy mélységi védelmi mértéket ad hozzá az Azure-hitelesítéshez és a forgalombiztonsághoz.

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadások ellen

Útmutató: A HDInsight-erőforrások védelme a külső hálózatokról érkező támadások ellen. A támadások a következők lehetnek:

  • Elosztott szolgáltatásmegtagadásos (DDoS-) támadások

  • Alkalmazásspecifikus támadások

  • Kéretlen és potenciálisan rosszindulatú internetes forgalom

Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen. Az azure-beli virtuális hálózatokon a DDoS Protection Standard engedélyezésével védheti az objektumokat a DDoS-támadások ellen. A Microsoft Defender for Cloud használatával észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

Felelősség: Ügyfél

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a HDInsight-erőforrásokhoz NSG-kben vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. A szolgáltatás felé irányuló forgalom engedélyezéséhez vagy letiltásához adjon meg egy szolgáltatáscímke-nevet, például a "HDInsight" nevet a megfelelő szabályforrás vagy célmezőben. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait az olyan gyakori támadások elhárításához, mint például:

  • Dangling DNS

  • DNS-erősítő támadások

  • DNS-mérgezés és hamisítás

Ha az Azure DNS-t használja DNS-szolgáltatásként, ügyeljen arra, hogy az Azure Role-Based Access Control (RBAC) és az erőforrás-zárolások használatával megvédje a DNS-zónákat és -rekordokat a véletlen vagy rosszindulatú módosításoktól.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: A HDInsight az Azure AD alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként használja. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához az alábbiakban:

  • Microsoft Cloud-erőforrások. Az erőforrások közé tartoznak a következők:

    • Azure Portal

    • Azure Storage

    • Azure-beli Linux és Windows rendszerű virtuális gépek

    • Azure Key Vault

    • Szolgáltatásként nyújtott platform (PaaS)

    • Szolgáltatott szoftveres (SaaS-) alkalmazások

  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tételének kiemelt prioritásnak kell lennie a szervezet felhőbiztonsági gyakorlata számára. Azure AD egy identitásbiztonsági pontszámot biztosít, amellyel összehasonlíthatja identitásbiztonsági helyzetét a Microsoft ajánlott eljárásaival. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Azure HDInsight-fürtök konfigurálása Enterprise Security Package (ESP) csomaggal. Ezeket a fürtöket csatlakoztathatja egy tartományhoz, hogy a felhasználók a tartományi hitelesítő adataikkal hitelesíthessék magukat a fürtökkel. A HDInsight erőforrás-felügyeletéhez három fő beépített Azure RBAC-szerepkör érhető el:

  • Olvasó: HDInsight-erőforrásokhoz való hozzáférés olvasása, beleértve a titkos kódokat is

  • HDInsight-fürt operátora: Olvasási és írási hozzáférés a HDInsight-erőforrásokhoz, beleértve a titkos kódokat is

  • Közreműködő: Olvasási és írási hozzáférés, beleértve a titkos kódokat és a szkriptműveletek végrehajtásának képességét

A sorszintű biztonság érdekében az Apache Ranger implementálható a Hive hozzáférés-vezérlési szabályzatainak beállításához.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: A HDInsight támogatja az Azure-erőforrások felügyelt identitásait. Felügyelt identitások használata a HDInsighttal ahelyett, hogy szolgáltatásneveket hoz létre más erőforrások eléréséhez. A HDInsight natív hitelesítést végezhet az Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés egy előre meghatározott hozzáférési engedélyezési szabályon keresztül támogatott. Nem használ a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure HDInsight ID Broker használatával többtényezős hitelesítéssel, jelszavak megadása nélkül jelentkezhet be ESP-fürtökbe. Ha már bejelentkezett más Azure-szolgáltatásokba, például a Azure Portal, egyszeri bejelentkezéssel bejelentkezhet az Azure HDInsight-fürtbe.

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Ha az Azure HDInsight üzemelő példányához kapcsolódó kódot használ, a hitelesítő adatok kódon belüli azonosításához implementálhatja a Credential Scannert. A Credential Scanner emellett ösztönzi a felderített hitelesítő adatok biztonságosabb helyekre, például az Azure Key Vault-ba való áthelyezését.

A GitHub esetében a natív titkoskód-vizsgálati funkcióval azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáit a kódban.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A legfontosabb beépített Azure AD szerepkörök a globális rendszergazda és a kiemelt szerepkörű rendszergazda. A két szerepkörrel rendelkező felhasználók rendszergazdai szerepköröket delegálhatnak.

  • A globális rendszergazda vagy a vállalati rendszergazda minden Azure AD rendszergazdai funkcióhoz és Azure AD identitást használó szolgáltatáshoz hozzáfér.

  • A kiemelt szerepkörök rendszergazdája kezelheti a szerepkör-hozzárendeléseket a Azure AD és a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Ez a szerepkör a PIM és a felügyeleti egységek minden aspektusát képes kezelni.

Használja a HDInsight ESP-t, amely a következő kiemelt szerepkörök használatával rendelkezik:

  • Fürtadminisztrátor

  • Fürtoperátor

  • Szolgáltatás-rendszergazda

  • Szolgáltatásoperátor

  • Fürtfelhasználó

Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatára. Korlátozza a magas jogosultsági szintű fiókok vagy szerepkörök számát, és emelt szintű védelmet nyújt ezeknek a fiókoknak. A kiemelt jogosultságokkal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az összes Azure-erőforrást.

Igény szerinti (JIT) jogosultsági szintű hozzáférést engedélyezhet az Azure-erőforrásokhoz, és Azure AD Azure AD PIM használatával. A JIT csak akkor ad ideiglenes engedélyeket az emelt szintű feladatok elvégzéséhez, ha a felhasználóknak szükségük van rá. A PIM biztonsági riasztásokat is képes generálni a Azure AD szervezet gyanús vagy nem biztonságos tevékenységeihez.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: A HDInsight Azure AD-fiókokat használ az erőforrásai kezeléséhez. Rendszeresen tekintse át a felhasználói fiókokat és a hozzáférési hozzárendeléseket, és győződjön meg arról, hogy a fiókok és a hozzáférésük érvényes. A Azure AD és a hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. Hozzáférési felülvizsgálati jelentés munkafolyamatait is létrehozhatja Azure AD PIM-ben a felülvizsgálati folyamat megkönnyítése érdekében.

Konfigurálhatja Azure AD PIM-et, hogy riasztást küldjön, ha túl sok rendszergazdai fiók van. A PIM azonosítja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazdák, a fejlesztők és a kritikus fontosságú szolgáltatásüzemeltetők. A HDInsight-erőforrások kezelésével kapcsolatos felügyeleti feladatokhoz nagy biztonságban van a felhasználói munkaállomások és az Azure Bastion használata.

A Azure AD, a Microsoft Defender ATP vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. Központilag felügyelheti a biztonságos munkaállomásokat egy olyan biztonsági konfiguráció kikényszerítéséhez, amely a következőket tartalmazza:

  • Erős hitelesítés

  • Szoftver- és hardverkonfigurációk

  • Korlátozott logikai és hálózati hozzáférés

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

PA-7: A minimális jogosultsági elv követése a megfelelő adminisztrációhoz

Útmutató: A HDInsight integrálható az Azure RBAC-vel az erőforrásai kezeléséhez. Az RBAC-vel szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését. Szerepköröket rendelhet felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz. Bizonyos erőforrások előre definiált, beépített szerepkörökhöz tartoznak. Ezeket a szerepköröket olyan eszközökkel leltárba helyezheti vagy kérdezheti le, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal.

Korlátozza az erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat a szerepkörök által igényeltre. Ez a gyakorlat kiegészíti Azure AD PIM JIT-megközelítését. Rendszeresen tekintse át a szerepköröket és a hozzárendeléseket.

A beépített szerepkörök használatával adhat engedélyeket, és csak szükség esetén hozhat létre egyéni szerepköröket. A HDInsight az Apache Ranger használatával teszi lehetővé az engedélyek részletesebb szabályozását.

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, a HDInsight támogatja az Ügyfélszéfet. Lehetővé teszi, hogy áttekintse az ügyfelek adathozzáférési kéréseit, és jóváhagyja vagy elutasítsa azokat.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Az Azure HDInsight üzemelő példányaihoz kapcsolódó erőforrások címkéivel nyomon követheti a bizalmas információkat tároló vagy feldolgozó Azure-erőforrásokat. Bizalmas adatok besorolása és azonosítása a Microsoft Purview használatával. Használja a szolgáltatást a HDInsight-fürthöz társított SQL-adatbázisokban vagy Azure Storage-fiókokban tárolt adatokhoz.

A Microsoft által kezelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. A Microsoft hosszú ideig őrzi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

DP-2: A bizalmas adatok védelme

Útmutató: Különálló előfizetések és felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Az Azure HDInsight-fürtöket és a társított tárfiókokat virtuális hálózat/alhálózat szerint kell elkülönítenie, megfelelően címkéznie kell őket, és biztonságossá kell őket helyeznie egy NSG-n vagy Azure Firewall. Fürtadatokat tartalmaz egy biztonságos Azure Storage-fiókban vagy Azure Data Lake Storage (Gen1 vagy Gen2).

Felelősség: Ügyfél

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: A bizalmas információkat tartalmazó vagy feldolgozó Azure HDInsight-fürtök esetében címkékkel jelölje meg bizalmasként a fürtöt és a kapcsolódó erőforrásokat. Az adatszivárgás kockázatának csökkentése érdekében korlátozza az Azure HDInsight-fürtök kimenő hálózati forgalmát a Azure Firewall használatával.

A HDInsight nem támogatja a bizalmas adatok natív átvitelének automatikus monitorozását.

A Microsoft által kezelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. A Microsoft hosszú ideig őrzi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A HDInsight támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során. Titkosítsa az összes bizalmas információt az átvitel során. Győződjön meg arról, hogy az Azure HDInsight-fürthöz vagy -fürtadattárakhoz (Azure Storage-fiókok vagy Azure Data Lake Storage Gen1/Gen2) csatlakozó ügyfelek képesek a TLS 1.2 vagy újabb verziójának egyeztetésére. A Microsoft Azure-erőforrások alapértelmezés szerint egyeztetik a TLS 1.2-t.

A hozzáférés-vezérlés kiegészítése érdekében védje az átvitel alatt álló adatokat a "sávon kívüli" támadásokkal, például a forgalomrögzítéssel szemben. Titkosítással biztosíthatja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Távoli felügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) a titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-t, TLS-t, SSH-verziókat és protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: Ha Azure SQL Database-t használ Apache Hive és Apache Oozie-metaadatok tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és a Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoft számára a titkosítási kulcsok kezelését, de ön is kezelheti a saját kulcsait.

A HDInsight több titkosítási típust támogat két különböző rétegben:

Felelősség: Megosztott

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy biztonsági olvasói engedélyeket ad a biztonsági csapatoknak az Azure-bérlőben és -előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet attól függően, hogy hogyan strukturálja a felelősségeket. A biztonsági megállapításokat és kockázatokat mindig központilag összesítheti egy szervezeten belül.

A Biztonsági olvasó engedélyeket széles körben alkalmazhatja egy teljes bérlő gyökérszintű felügyeleti csoportjára, vagy hatókör-engedélyeket adott felügyeleti csoportokra vagy előfizetésekre.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például a HDInsighthoz. A biztonsági csapatoknak gyakran szükségük van erre a leltárra, hogy kiértékeljék a szervezet potenciálisan felmerülő kockázatokkal szembeni kitettségét, és hogy a folyamatos biztonsági fejlesztések bemeneteként szolgálhassanak. Hozzon létre egy Azure AD csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát. Olvasási hozzáférés hozzárendelése az összes HDInsight-erőforráshoz. A folyamatot leegyszerűsítheti egyetlen magas szintű szerepkör-hozzárendelés használatával az előfizetésen belül.

Címkéket alkalmazhat az Azure-erőforrásokra, erőforráscsoportokra és előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésekben lévő erőforrásokat. Az Azure Monitor használatával szabályokat is létrehozhat riasztások aktiválásához, ha egy nem jóváhagyott szolgáltatást észlelnek.

Felelősség: Ügyfél

AM-6: Csak jóváhagyott alkalmazások használata számítási erőforrásokban

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli összes erőforrást, például a számítást, a tárolást, a hálózatot, a portokat, a protokollokat és így tovább, beleértve az Azure HDInsight-fürtöket is. Távolítsa el a felderített nem jóváhagyott Azure-erőforrásokat. Az Azure HDInsight-fürtcsomópontok esetében implementáljon egy külső megoldást a nem jóváhagyott szoftverek eltávolítására vagy riasztására.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure HDInsight nem támogatja natív módon a defendert, hanem ClamAV-t használ. A HDInsighthoz készült ESP használatakor azonban használhatja a Microsoft Defender for Cloud beépített fenyegetésészlelési funkcióját. Engedélyezheti a Microsoft Defendert a HDInsighthoz társított virtuális gépekhez is.

A HDInsight naplóinak továbbítása a SIEM-be, amely egyéni fenyegetésészlelések beállítására használható. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a potenciális fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Használja a Microsoft Defender for Cloud szolgáltatást, és hárítsa el az Azure HDInsight-fürt védelméhez használt virtuális hálózatra, alhálózatra és NSG-re vonatkozó hálózati védelmi javaslatokat. Engedélyezze az NSG-folyamatnaplókat, és küldjön naplókat egy Azure Storage-fiókba a forgalomnaplók támogatásához. NSG-forgalomnaplókat is küldhet egy Azure Log Analytics-munkaterületre, és az Azure Traffic Analytics használatával betekintést nyújthat az Azure-felhőben folyó forgalomba. Az Azure Traffic Analytics néhány előnye a következők képessége:

  • A hálózati tevékenység megjelenítése és a gyakori elérésű pontok azonosítása.

  • Biztonsági fenyegetések azonosítása.

  • A forgalmi minták megismerése

  • Helytelen hálózati konfigurációk kitűzése.

A HDInsight naplózza az összes olyan hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében feldolgoz. Engedélyezze a hálózati folyamat képességét az üzembe helyezett ajánlat erőforrásain belül.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók automatikusan elérhetők. A naplók tartalmazzák a HDInsight-erőforrások összes PUT, POST és DELETE műveletét, de a GET-t nem, kivéve az olvasási műveleteket (GET). A tevékenységnaplók segítségével megkeresheti a hibaelhárítás során felmerülő hibákat, vagy figyelheti, hogy a szervezet felhasználói hogyan módosították az erőforrásokat.

Engedélyezze az Azure-erőforrásnaplókat a HDInsighthoz. A Microsoft Defender for Cloud és a Azure Policy segítségével engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatok végrehajtásához.

A HDInsight biztonsági auditnaplókat is készít a helyi felügyeleti fiókokhoz. Engedélyezze ezeket a helyi rendszergazdai auditnaplókat.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A HDInsight-erőforrások naplózási tárolójának központosítása elemzés céljából. Minden naplóforráshoz győződjön meg arról, hogy rendelkezik az alábbiakval:

  • Hozzárendelt adattulajdonos

  • Hozzáférési útmutató

  • Tárolási hely

  • Az adatok feldolgozásához és eléréséhez használt eszközök

  • Adatmegőrzési követelmények

Mindenképpen integrálja az Azure-tevékenységnaplókat a központi naplózásba.

Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és más biztonsági rendszerek által generált biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával kérdezhet le és hajthat végre elemzéseket.

Azure Storage-fiókok használata hosszú távú és archivált tároláshoz.

Adatok engedélyezése és előkészítése a Microsoft Sentinel vagy egy külső SIEM számára. Számos szervezet használja a Microsoft Sentinelt a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig az általuk ritkábban használt "ritka" adatokhoz.

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy a HDInsight-naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek naplómegőrzési ideje a szervezet megfelelőségi előírásainak megfelelően van beállítva.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure-platform paaS- és SaaS-szolgáltatásához. A virtuális gépek esetében használja a Microsoft alapértelmezett hálózati időprotokoll-kiszolgálóját (NTP) az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját NTP-kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az UDP 123-es portját. Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

Felelősség: Megosztott

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: Egyéni szabályzatok létrehozásához használjon Azure Policy aliasokat a "Microsoft.HDInsight" névtérben. Konfigurálja a szabályzatokat a HDInsight-fürt hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Ha Rapid7, Qualys vagy bármely más biztonságirés-kezelési platform előfizetéssel rendelkezik, lehetősége van rá. Szkriptműveletekkel sebezhetőség-felmérési ügynököket telepíthet az Azure HDInsight-fürtcsomópontokra, és kezelheti a csomópontokat a megfelelő portálon keresztül.

Az Azure HDInsight ESP-vel az Apache Rangerrel részletes hozzáférés-vezérlési és adatelfedési szabályzatokat hozhat létre és kezelhet. Ezt a következő helyen tárolt adatok esetében teheti meg:

  • Fájlok

  • Mappák

  • Adatbázisok

  • Táblázatok

  • Rows (Sorok)

  • Oszlopok

A Hadoop-rendszergazda konfigurálhatja az Azure RBAC-t a Apache Hive, a HBase, a Kafka és a Spark védelméhez az Apache Ranger ezen beépülő moduljaival.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: Az Azure HDInsight-fürtök és a kapcsolódó erőforrások biztonságos beállításainak kényszerítéséhez használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] beállítást.

Felelősség: Ügyfél

PV-3: Biztonságos konfigurációk létrehozása számítási erőforrásokhoz

Útmutató: Az Ubuntu-rendszerképek a közzétételt követő három hónapon belül elérhetővé válnak az új Azure HDInsight-fürt létrehozásához. A futó fürtök nincsenek automatikusan kitöltve. Az ügyfeleknek szkriptműveleteket vagy más mechanizmusokat kell használniuk a futó fürtök javításához. Ajánlott eljárásként futtathatja ezeket a szkriptműveleteket, és közvetlenül a fürt létrehozása után alkalmazhat biztonsági frissítéseket

A Microsoft Defender for Cloud és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, a tárolókat és másokat is.

Felelősség: Ügyfél

PV-4: A számítási erőforrások biztonságos konfigurációinak fenntartása

Útmutató: A Microsoft által felügyelt és karbantartott Azure HDInsight operációsrendszer-rendszerképek. Azonban ön felelős a rendszerkép operációsrendszer-szintű állapotkonfigurációjának implementálásáért.

A Microsoft Defender for Cloud és a Azure Policy használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrásainak konfigurációs kockázatait, beleértve a virtuális gépeket és a tárolókat is. Ezeket az erőforrásokat a szervezet által megkövetelt operációsrendszer-biztonsági konfiguráció fenntartásához is használhatja:

  • Azure Resource Manager (ARM-) sablonok.

  • Egyéni operációsrendszer-lemezképek.

  • Azure Automation állapotkonfiguráció.

A Microsoft virtuálisgép-sablonok Azure Automation State Configuration kombinálva segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Felelősség: Megosztott

PV-5: Egyéni operációs rendszer és tárolólemezképek biztonságos tárolása

Útmutató: A HDInsight lehetővé teszi az ügyfelek számára az operációsrendszer-lemezképek vagy tárolólemezképek kezelését. Az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez. Az Azure Shared Image Gallery használatával megoszthatja a rendszerképeket a szervezet különböző felhasználóival, szolgáltatásnevekkel vagy Azure AD csoportjaival. Tárolórendszerképeket tárolhat Azure Container Registry, és az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá.

Felelősség: Ügyfél

PV-6: Szoftveres biztonsági rések felmérése

Útmutató: A HDInsight külső megoldással végezhet biztonságirés-felméréseket hálózati eszközökön és webalkalmazásokon. Távoli vizsgálatok során ne használjon egyetlen állandó rendszergazdai fiókot. Fontolja meg a JIT kiépítési módszerének implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak biztonsági rések vizsgálatára kell használni.

Szükség szerint exportálja a vizsgálati eredményeket konzisztens időközönként, és hasonlítsa össze az eredményeket a korábbi vizsgálatokkal annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e.

Felelősség: Ügyfél

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: A HDInsight-fürtök futtatása nem automatikusan készült. Csak szkriptműveleteket vagy más mechanizmusokat használjon a futó fürtök javításához. Ajánlott eljárásként futtathatja ezeket a szkriptműveleteket, és közvetlenül a fürt létrehozása után alkalmazhat biztonsági frissítéseket.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

Kövesse a Microsoft cloud behatolástesztelési szabályainak előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. Használja a Microsoft Red Teaming stratégiáját és végrehajtását. Végezze el az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, -szolgáltatásokon és -alkalmazásokon.

Felelősség: Megosztott

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-1: Végpontészlelés és -válasz használata

Útmutató: Az Azure HDInsight nem támogatja natív módon a defendert. ClamAV-t használ. Továbbítja a ClamAV-naplókat egy központi SIEM-nek vagy más észlelési és riasztási rendszernek.

Felelősség: Ügyfél

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: Az Azure HDInsight rendelkezik a Clamscan előtelepített és engedélyezett telepítésével a fürtcsomópont lemezképeihez. Azonban kezelnie kell a szoftvert, és manuálisan kell összesítenie/monitoroznia a Clamscan által előállított naplókat.

Felelősség: Ügyfél

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Az Azure HDInsight rendelkezik a Clamscan előtelepített és engedélyezett telepítésével a fürtcsomópont lemezképeihez. A Clamscan automatikusan elvégzi a motor- és definíciófrissítéseket, és frissíti a kártevőirtó-aláírásokat a ClamAV hivatalos vírusaláírási adatbázisa alapján.

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Ha azure Key Vault használ az Azure HDInsight üzembe helyezésével, rendszeresen tesztelje az ügyfél által felügyelt kulcsok biztonsági másolatának visszaállítását.

Felelősség: Ügyfél

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Ha az Azure Key Vault használja az Azure HDInsight üzemelő példányával, engedélyezze a helyreállítható törlést Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelme érdekében.

Felelősség: Ügyfél

Következő lépések