Azure biztonsági alapkonfiguráció a HDInsighthoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a HDInsightra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a HDInsightra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A HDInsightra nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy a HDInsight hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes HDInsight biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Az Azure HDInsight szegélyhálózati biztonsága virtuális hálózatokon keresztül érhető el. A vállalati rendszergazdák létrehozhatnak egy fürtöt egy virtuális hálózaton belül, és egy hálózati biztonsági csoport (NSG) használatával korlátozhatják a virtuális hálózathoz való hozzáférést. Csak a bejövő NSG-szabályokban engedélyezett IP-címek kommunikálhatnak az Azure HDInsight-fürttel. Ez a konfiguráció szegélyhálózati biztonságot nyújt. A virtuális hálózaton üzembe helyezett összes fürtnek privát végpontja is lesz. A végpont egy privát IP-címre lesz feloldva a Virtual Network belül. Privát HTTP-hozzáférést biztosít a fürtátjárókhoz.

Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat az NSG-szabályok alapján. Adott, jól definiált alkalmazások, például háromszintű alkalmazások esetén ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet.

Általában minden fürttípushoz szükséges portok:

• 22–23 – SSH-hozzáférés a fürterőforrásokhoz

• 443 – Ambari, WebHCat REST API, HiveServer ODBC és JDBC

A fürttípusokról és további részletekről ebben a cikkben olvashat.

Privát HDInsight-fürtöket úgy hozhat létre, hogy meghatározott hálózati tulajdonságokat konfigurál egy Azure Resource Manager (ARM) sablonban. Privát HDInsight-fürtök létrehozásához két tulajdonság használható:

• Távolítsa el a nyilvános IP-címeket az erőforrás-szolgáltató kimenő kapcsolatának beállításával.

• Engedélyezze a Azure Private Link és használja a privát végpontokat a PrivateLink engedélyezésével.

További információkat az alábbi hivatkozásokon találhat:

• Privát HDInsight-fürtök létrehozása

• HDInsight Virtual Network architektúra

• HDInsight Virtual Network üzembe helyezése

• Transport Layer Security az Azure HDInsightban

• Hálózati forgalom szabályozása az Azure HDInsightban

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: A Azure Private Link használatával az internet átlépése nélkül engedélyezheti a HDInsight privát elérését a virtuális hálózatokról. A privát hozzáférés egy mélységi védelmi mértéket ad hozzá az Azure-hitelesítéshez és a forgalombiztonsághoz.

• Azure HDInsight-fürtök védelme és elkülönítése Private Link

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadások ellen

Útmutató: A HDInsight-erőforrások védelme a külső hálózatokról érkező támadások ellen. A támadások a következők lehetnek:

• Elosztott szolgáltatásmegtagadásos (DDoS-) támadások

• Alkalmazásspecifikus támadások

• Kéretlen és potenciálisan rosszindulatú internetes forgalom

Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen. Az azure-beli virtuális hálózatokon a DDoS Protection Standard engedélyezésével védheti az objektumokat a DDoS-támadások ellen. A Microsoft Defender for Cloud használatával észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

• Ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

• Titkosítás használata az adatok védelméhez beépített szabályzatok alkalmazása az Azure HDInsighthoz

• Azure Firewall dokumentációja

• Az Azure DDoS Protection Standard kezelése a Azure Portal

Felelősség: Ügyfél

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a HDInsight-erőforrásokhoz NSG-kben vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. A szolgáltatás felé irányuló forgalom engedélyezéséhez vagy letiltásához adjon meg egy szolgáltatáscímke-nevet, például a "HDInsight" nevet a megfelelő szabályforrás vagy célmezőben. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

• Az Azure HDInsight szolgáltatáscímkék ismertetése és használata

• Szolgáltatáscímkék ismertetése és használata

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait az olyan gyakori támadások elhárításához, mint például:

• Dangling DNS

• DNS-erősítő támadások

• DNS-mérgezés és hamisítás

Ha az Azure DNS-t használja DNS-szolgáltatásként, ügyeljen arra, hogy az Azure Role-Based Access Control (RBAC) és az erőforrás-zárolások használatával megvédje a DNS-zónákat és -rekordokat a véletlen vagy rosszindulatú módosításoktól.

• Azure HDInsight – Helyszíni hálózat csatlakoztatása

• Az Azure DNS áttekintése

• Biztonságos tartománynévrendszer (DNS) üzembehelyezési útmutatója

• Az értékhiányos DNS-bejegyzések megelőzése és az altartomány-átvétel elkerülése

• Virtuális hálózat tervezése az Azure HDInsighthoz

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: A HDInsight az Azure AD alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként használja. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához az alábbiakban:

• Microsoft Cloud-erőforrások. Az erőforrások közé tartoznak a következők:

  • Azure Portal

  • Azure Storage

  • Azure-beli Linux és Windows rendszerű virtuális gépek

  • Azure Key Vault

  • Szolgáltatásként nyújtott platform (PaaS)

  • Szolgáltatott szoftveres (SaaS-) alkalmazások

• a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tételének kiemelt prioritásnak kell lennie a szervezet felhőbiztonsági gyakorlata számára. Azure AD egy identitásbiztonsági pontszámot biztosít, amellyel összehasonlíthatja identitásbiztonsági helyzetét a Microsoft ajánlott eljárásaival. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Azure HDInsight-fürtök konfigurálása Enterprise Security Package (ESP) csomaggal. Ezeket a fürtöket csatlakoztathatja egy tartományhoz, hogy a felhasználók a tartományi hitelesítő adataikkal hitelesíthessék magukat a fürtökkel. A HDInsight erőforrás-felügyeletéhez három fő beépített Azure RBAC-szerepkör érhető el:

• Olvasó: HDInsight-erőforrásokhoz való hozzáférés olvasása, beleértve a titkos kódokat is

• HDInsight-fürt operátora: Olvasási és írási hozzáférés a HDInsight-erőforrásokhoz, beleértve a titkos kódokat is

• Közreműködő: Olvasási és írási hozzáférés, beleértve a titkos kódokat és a szkriptműveletek végrehajtásának képességét

A sorszintű biztonság érdekében az Apache Ranger implementálható a Hive hozzáférés-vezérlési szabályzatainak beállításához.

• Az Apache Ranger konfigurálása

• HDInsight-fürtök konfigurálása Azure Active Directory-integrációhoz az Enterprise Security Package használatával

• Bérlői viszony az Azure Active Directoryban

• Azure AD-példány létrehozása és konfigurálása

• Külső identitásszolgáltatók használata alkalmazáshoz

• A HDInsight részletes hozzáférési fürtkonfigurációinak migrálása

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: A HDInsight támogatja az Azure-erőforrások felügyelt identitásait. Felügyelt identitások használata a HDInsighttal ahelyett, hogy szolgáltatásneveket hoz létre más erőforrások eléréséhez. A HDInsight natív hitelesítést végezhet az Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés egy előre meghatározott hozzáférési engedélyezési szabályon keresztül támogatott. Nem használ a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat.

• A felügyelt identitások ismertetése az Azure HDInsighttal

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure HDInsight ID Broker használatával többtényezős hitelesítéssel, jelszavak megadása nélkül jelentkezhet be ESP-fürtökbe. Ha már bejelentkezett más Azure-szolgáltatásokba, például a Azure Portal, egyszeri bejelentkezéssel bejelentkezhet az Azure HDInsight-fürtbe.

• Az Azure HDInsight ID Broker engedélyezése

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Ha az Azure HDInsight üzemelő példányához kapcsolódó kódot használ, a hitelesítő adatok kódon belüli azonosításához implementálhatja a Credential Scannert. A Credential Scanner emellett ösztönzi a felderített hitelesítő adatok biztonságosabb helyekre, például az Azure Key Vault-ba való áthelyezését.

A GitHub esetében a natív titkoskód-vizsgálati funkcióval azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáit a kódban.

• Javasolja a hitelesítő adatok vizsgálatának engedélyezését az azonosításhoz és a kizáráshoz

• A Credential Scanner beállítása

• Titkos kódok szűrése a GitHubban

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A legfontosabb beépített Azure AD szerepkörök a globális rendszergazda és a kiemelt szerepkörű rendszergazda. A két szerepkörrel rendelkező felhasználók rendszergazdai szerepköröket delegálhatnak.

• A globális rendszergazda vagy a vállalati rendszergazda minden Azure AD rendszergazdai funkcióhoz és Azure AD identitást használó szolgáltatáshoz hozzáfér.

• A kiemelt szerepkörök rendszergazdája kezelheti a szerepkör-hozzárendeléseket a Azure AD és a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Ez a szerepkör a PIM és a felügyeleti egységek minden aspektusát képes kezelni.

Használja a HDInsight ESP-t, amely a következő kiemelt szerepkörök használatával rendelkezik:

• Fürtadminisztrátor

• Fürtoperátor

• Szolgáltatás-rendszergazda

• Szolgáltatásoperátor

• Fürtfelhasználó

Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatára. Korlátozza a magas jogosultsági szintű fiókok vagy szerepkörök számát, és emelt szintű védelmet nyújt ezeknek a fiókoknak. A kiemelt jogosultságokkal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az összes Azure-erőforrást.

Igény szerinti (JIT) jogosultsági szintű hozzáférést engedélyezhet az Azure-erőforrásokhoz, és Azure AD Azure AD PIM használatával. A JIT csak akkor ad ideiglenes engedélyeket az emelt szintű feladatok elvégzéséhez, ha a felhasználóknak szükségük van rá. A PIM biztonsági riasztásokat is képes generálni a Azure AD szervezet gyanús vagy nem biztonságos tevékenységeihez.

• Apache Hadoop-fürtök kezelése a HDInsightban

• Rendszergazdai szerepköri engedélyek az Azure AD-ben

• Az Azure Privileged Identity Management biztonsági riasztásainak használata

• Emelt szintű hozzáférés biztosítása Azure AD hibrid- és felhőkörnyezetekhez

• Magas jogosultsági szintű felhasználók védelme és korlátozása

• Identitáskezelés

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: A HDInsight Azure AD-fiókokat használ az erőforrásai kezeléséhez. Rendszeresen tekintse át a felhasználói fiókokat és a hozzáférési hozzárendeléseket, és győződjön meg arról, hogy a fiókok és a hozzáférésük érvényes. A Azure AD és a hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. Hozzáférési felülvizsgálati jelentés munkafolyamatait is létrehozhatja Azure AD PIM-ben a felülvizsgálati folyamat megkönnyítése érdekében.

Konfigurálhatja Azure AD PIM-et, hogy riasztást küldjön, ha túl sok rendszergazdai fiók van. A PIM azonosítja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

• Azure-erőforrásszerepkörök hozzáférési felülvizsgálatának létrehozása a Privileged Identity Management(PIM) szolgáltatásban

• Az Azure AD identitás- és hozzáférési felülvizsgálatainak használata

• Enterprise Security Package for Azure HDInsight

• A HDInsight részletes hozzáférési fürtkonfigurációinak migrálása

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazdák, a fejlesztők és a kritikus fontosságú szolgáltatásüzemeltetők. A HDInsight-erőforrások kezelésével kapcsolatos felügyeleti feladatokhoz nagy biztonságban van a felhasználói munkaállomások és az Azure Bastion használata.

A Azure AD, a Microsoft Defender ATP vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. Központilag felügyelheti a biztonságos munkaállomásokat egy olyan biztonsági konfiguráció kikényszerítéséhez, amely a következőket tartalmazza:

• Erős hitelesítés

• Szoftver- és hardverkonfigurációk

• Korlátozott logikai és hálózati hozzáférés

További információkat az alábbi hivatkozásokon találhat:

• Emelt szintű hozzáférésű munkaállomások üzembe helyezése

• Emelt szintű hozzáférésű munkaállomás üzembe helyezése

Felelősség: Ügyfél

PA-7: A minimális jogosultsági elv követése a megfelelő adminisztrációhoz

Útmutató: A HDInsight integrálható az Azure RBAC-vel az erőforrásai kezeléséhez. Az RBAC-vel szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését. Szerepköröket rendelhet felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz. Bizonyos erőforrások előre definiált, beépített szerepkörökhöz tartoznak. Ezeket a szerepköröket olyan eszközökkel leltárba helyezheti vagy kérdezheti le, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal.

Korlátozza az erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat a szerepkörök által igényeltre. Ez a gyakorlat kiegészíti Azure AD PIM JIT-megközelítését. Rendszeresen tekintse át a szerepköröket és a hozzárendeléseket.

A beépített szerepkörök használatával adhat engedélyeket, és csak szükség esetén hozhat létre egyéni szerepköröket. A HDInsight az Apache Ranger használatával teszi lehetővé az engedélyek részletesebb szabályozását.

• Migrálás fürtkonfigurációk részletes szerepköralapú hozzáféréséhez

• LDAP-szinkronizálás a Rangerben és az Apache Ambariban az Azure HDInsightban

• Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)

• Az RBAC konfigurálása az Azure-ban

• Az Azure AD identitás- és hozzáférési felülvizsgálatainak használata

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, a HDInsight támogatja az Ügyfélszéfet. Lehetővé teszi, hogy áttekintse az ügyfelek adathozzáférési kéréseit, és jóváhagyja vagy elutasítsa azokat.

• Az Ügyfélszéf ismertetése

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Az Azure HDInsight üzemelő példányaihoz kapcsolódó erőforrások címkéivel nyomon követheti a bizalmas információkat tároló vagy feldolgozó Azure-erőforrásokat. Bizalmas adatok besorolása és azonosítása a Microsoft Purview használatával. Használja a szolgáltatást a HDInsight-fürthöz társított SQL-adatbázisokban vagy Azure Storage-fiókokban tárolt adatokhoz.

A Microsoft által kezelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. A Microsoft hosszú ideig őrzi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

• A Microsoft Purview áttekintése

• Címkék létrehozása és használata

• Az ügyféladatok Azure-beli védelmének ismertetése

Felelősség: Megosztott

DP-2: A bizalmas adatok védelme

Útmutató: Különálló előfizetések és felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Az Azure HDInsight-fürtöket és a társított tárfiókokat virtuális hálózat/alhálózat szerint kell elkülönítenie, megfelelően címkéznie kell őket, és biztonságossá kell őket helyeznie egy NSG-n vagy Azure Firewall. Fürtadatokat tartalmaz egy biztonságos Azure Storage-fiókban vagy Azure Data Lake Storage (Gen1 vagy Gen2).

• Tárolási lehetőségek kiválasztása az Azure HDInsight-fürthöz

• A Azure Data Lake Storage védelme

• Azure Storage-fiókok védelme

Felelősség: Ügyfél

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: A bizalmas információkat tartalmazó vagy feldolgozó Azure HDInsight-fürtök esetében címkékkel jelölje meg bizalmasként a fürtöt és a kapcsolódó erőforrásokat. Az adatszivárgás kockázatának csökkentése érdekében korlátozza az Azure HDInsight-fürtök kimenő hálózati forgalmát a Azure Firewall használatával.

A HDInsight nem támogatja a bizalmas adatok natív átvitelének automatikus monitorozását.

A Microsoft által kezelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. A Microsoft hosszú ideig őrzi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

• Az Azure HDInsight-fürtök kimenő forgalmának korlátozása Azure Firewall

• Az ügyféladatok Azure-beli védelmének ismertetése

Felelősség: Megosztott

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A HDInsight támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során. Titkosítsa az összes bizalmas információt az átvitel során. Győződjön meg arról, hogy az Azure HDInsight-fürthöz vagy -fürtadattárakhoz (Azure Storage-fiókok vagy Azure Data Lake Storage Gen1/Gen2) csatlakozó ügyfelek képesek a TLS 1.2 vagy újabb verziójának egyeztetésére. A Microsoft Azure-erőforrások alapértelmezés szerint egyeztetik a TLS 1.2-t.

A hozzáférés-vezérlés kiegészítése érdekében védje az átvitel alatt álló adatokat a "sávon kívüli" támadásokkal, például a forgalomrögzítéssel szemben. Titkosítással biztosíthatja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Távoli felügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) a titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-t, TLS-t, SSH-verziókat és protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

• Az Azure-ral történő átvitel közbeni titkosítás ismertetése

• Információk a TLS biztonságáról

• Dupla titkosítás az átvitel alatt lévő Azure-adatokhoz

• Az átvitel közbeni Azure Data Lake Storage titkosítás ismertetése

• Az Azure Storage-fiók átvitel közbeni titkosításának ismertetése

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: Ha Azure SQL Database-t használ Apache Hive és Apache Oozie-metaadatok tárolására, győződjön meg arról, hogy az SQL-adatok mindig titkosítva maradnak. Az Azure Storage-fiókok és a Data Lake Storage (Gen1 vagy Gen2) esetében javasoljuk, hogy engedélyezze a Microsoft számára a titkosítási kulcsok kezelését, de ön is kezelheti a saját kulcsait.

A HDInsight több titkosítási típust támogat két különböző rétegben:

• Kiszolgálóoldali titkosítás (SSE) – Az SSE-t a tárolási szolgáltatás végzi. A HDInsightban az SSE az operációsrendszer-lemezek és adatlemezek titkosítására szolgál. Alapértelmezés szerint engedélyezve van. Az SSE egy 1. rétegbeli titkosítási szolgáltatás.

• Titkosítás a gazdagépen platform által felügyelt kulccsal – Az SSE-hez hasonlóan ezt a titkosítási típust a tárolási szolgáltatás végzi. Ez azonban csak ideiglenes lemezekre vonatkozik, és alapértelmezés szerint nincs engedélyezve. A gazdagép titkosítása egyben egy 1. rétegbeli titkosítási szolgáltatás is.

• Inaktív adatok titkosítása ügyfél által felügyelt kulccsal – Ez a titkosítási típus használható adatokon és ideiglenes lemezeken. Alapértelmezés szerint nincs engedélyezve, és megköveteli az ügyfélnek, hogy adja meg a saját kulcsát az Azure Key Vaulton keresztül. Az inaktív adatok titkosítása egy 2. rétegbeli titkosítási szolgáltatás.

• Azure HDInsight kettős titkosítás inaktív adatokhoz

• Az Azure Storage-fiókok titkosítási kulcsainak kezelése

• Azure Data Lake Storage létrehozása ügyfél által felügyelt titkosítási kulcsokkal

• Transzparens adattitkosítás konfigurálása SQL Database ügyfél által felügyelt kulcsokkal

Felelősség: Megosztott

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy biztonsági olvasói engedélyeket ad a biztonsági csapatoknak az Azure-bérlőben és -előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet attól függően, hogy hogyan strukturálja a felelősségeket. A biztonsági megállapításokat és kockázatokat mindig központilag összesítheti egy szervezeten belül.

A Biztonsági olvasó engedélyeket széles körben alkalmazhatja egy teljes bérlő gyökérszintű felügyeleti csoportjára, vagy hatókör-engedélyeket adott felügyeleti csoportokra vagy előfizetésekre.

• A biztonsági olvasó szerepkör áttekintése

• Az Azure-beli felügyeleti csoportok áttekintése

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például a HDInsighthoz. A biztonsági csapatoknak gyakran szükségük van erre a leltárra, hogy kiértékeljék a szervezet potenciálisan felmerülő kockázatokkal szembeni kitettségét, és hogy a folyamatos biztonsági fejlesztések bemeneteként szolgálhassanak. Hozzon létre egy Azure AD csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát. Olvasási hozzáférés hozzárendelése az összes HDInsight-erőforráshoz. A folyamatot leegyszerűsítheti egyetlen magas szintű szerepkör-hozzárendelés használatával az előfizetésen belül.

Címkéket alkalmazhat az Azure-erőforrásokra, erőforráscsoportokra és előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

• Lekérdezések létrehozása az Azure Resource Graph Explorerrel

• Az eszközök címkézésével kapcsolatos további információkért tekintse meg az erőforrások elnevezésével és címkézésével kapcsolatos döntési útmutatót

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésekben lévő erőforrásokat. Az Azure Monitor használatával szabályokat is létrehozhat riasztások aktiválásához, ha egy nem jóváhagyott szolgáltatást észlelnek.

• Az Azure Policy konfigurálása és kezelése

• Adott erőforrástípus megtagadása Azure Policy

• Lekérdezések létrehozása az Azure Resource Graph Explorerrel

Felelősség: Ügyfél

AM-6: Csak jóváhagyott alkalmazások használata számítási erőforrásokban

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli összes erőforrást, például a számítást, a tárolást, a hálózatot, a portokat, a protokollokat és így tovább, beleértve az Azure HDInsight-fürtöket is. Távolítsa el a felderített nem jóváhagyott Azure-erőforrásokat. Az Azure HDInsight-fürtcsomópontok esetében implementáljon egy külső megoldást a nem jóváhagyott szoftverek eltávolítására vagy riasztására.

• Lekérdezések létrehozása az Azure Resource Graph

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure HDInsight nem támogatja natív módon a defendert, hanem ClamAV-t használ. A HDInsighthoz készült ESP használatakor azonban használhatja a Microsoft Defender for Cloud beépített fenyegetésészlelési funkcióját. Engedélyezheti a Microsoft Defendert a HDInsighthoz társított virtuális gépekhez is.

A HDInsight naplóinak továbbítása a SIEM-be, amely egyéni fenyegetésészlelések beállítására használható. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a potenciális fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

• Veszélyforrások elleni védelem a Microsoft Defender for Cloudban

• A Microsoft Defender for Cloud biztonsági riasztásainak referencia-útmutatója

• Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez

• Számítógépes fenyegetésfelderítés a Microsoft Sentinellel

• Azure HDInsight-fürt előkészítése az Azure Monitorba

• A Log Analytics-munkaterület adatmegőrzési időszakának konfigurálása

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Használja a Microsoft Defender for Cloud szolgáltatást, és hárítsa el az Azure HDInsight-fürt védelméhez használt virtuális hálózatra, alhálózatra és NSG-re vonatkozó hálózati védelmi javaslatokat. Engedélyezze az NSG-folyamatnaplókat, és küldjön naplókat egy Azure Storage-fiókba a forgalomnaplók támogatásához. NSG-forgalomnaplókat is küldhet egy Azure Log Analytics-munkaterületre, és az Azure Traffic Analytics használatával betekintést nyújthat az Azure-felhőben folyó forgalomba. Az Azure Traffic Analytics néhány előnye a következők képessége:

• A hálózati tevékenység megjelenítése és a gyakori elérésű pontok azonosítása.

• Biztonsági fenyegetések azonosítása.

• A forgalmi minták megismerése

• Helytelen hálózati konfigurációk kitűzése.

A HDInsight naplózza az összes olyan hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében feldolgoz. Engedélyezze a hálózati folyamat képességét az üzembe helyezett ajánlat erőforrásain belül.

• Hálózati biztonsági csoport folyamatnaplóinak engedélyezése

• naplók és metrikák Azure Firewall

• A Traffic Analytics engedélyezése és használata

• Monitorozás Network Watcher

• Azure hálózatfigyelési megoldások az Azure Monitorban

• Azure Monitor-naplók használata HDInsight-fürtök monitorozásához

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók automatikusan elérhetők. A naplók tartalmazzák a HDInsight-erőforrások összes PUT, POST és DELETE műveletét, de a GET-t nem, kivéve az olvasási műveleteket (GET). A tevékenységnaplók segítségével megkeresheti a hibaelhárítás során felmerülő hibákat, vagy figyelheti, hogy a szervezet felhasználói hogyan módosították az erőforrásokat.

Engedélyezze az Azure-erőforrásnaplókat a HDInsighthoz. A Microsoft Defender for Cloud és a Azure Policy segítségével engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatok végrehajtásához.

A HDInsight biztonsági auditnaplókat is készít a helyi felügyeleti fiókokhoz. Engedélyezze ezeket a helyi rendszergazdai auditnaplókat.

• Platformnaplók és metrikák gyűjtése az Azure Monitorral

• A naplózás és a különböző naplótípusok megismerése az Azure-ban

• A Microsoft Defender for Cloud adatgyűjtésének ismertetése

• Azure HDInsight-fürt előkészítése az Azure Monitorba

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A HDInsight-erőforrások naplózási tárolójának központosítása elemzés céljából. Minden naplóforráshoz győződjön meg arról, hogy rendelkezik az alábbiakval:

• Hozzárendelt adattulajdonos

• Hozzáférési útmutató

• Tárolási hely

• Az adatok feldolgozásához és eléréséhez használt eszközök

• Adatmegőrzési követelmények

Mindenképpen integrálja az Azure-tevékenységnaplókat a központi naplózásba.

Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és más biztonsági rendszerek által generált biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával kérdezhet le és hajthat végre elemzéseket.

Azure Storage-fiókok használata hosszú távú és archivált tároláshoz.

Adatok engedélyezése és előkészítése a Microsoft Sentinel vagy egy külső SIEM számára. Számos szervezet használja a Microsoft Sentinelt a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig az általuk ritkábban használt "ritka" adatokhoz.

• Platformnaplók és metrikák gyűjtése az Azure Monitorral

• A Microsoft Sentinel előkészítése

• Azure HDInsight-fürt előkészítése az Azure Monitorba

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy a HDInsight-naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek naplómegőrzési ideje a szervezet megfelelőségi előírásainak megfelelően van beállítva.

• A Log Analytics-munkaterület adatmegőrzési időszakának konfigurálása

• Erőforrásnaplók tárolása Azure Storage-fiókban

• Azure HDInsight-fürt előkészítése az Azure Monitorba

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure-platform paaS- és SaaS-szolgáltatásához. A virtuális gépek esetében használja a Microsoft alapértelmezett hálózati időprotokoll-kiszolgálóját (NTP) az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját NTP-kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az UDP 123-es portját. Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

• Időszinkronizálás konfigurálása Azure Windows számítási erőforrásokhoz

• Időszinkronizálás konfigurálása Azure Linux számítási erőforrásokhoz

• Bejövő UDP letiltása az Azure-szolgáltatásokhoz

Felelősség: Megosztott

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: Egyéni szabályzatok létrehozásához használjon Azure Policy aliasokat a "Microsoft.HDInsight" névtérben. Konfigurálja a szabályzatokat a HDInsight-fürt hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Ha Rapid7, Qualys vagy bármely más biztonságirés-kezelési platform előfizetéssel rendelkezik, lehetősége van rá. Szkriptműveletekkel sebezhetőség-felmérési ügynököket telepíthet az Azure HDInsight-fürtcsomópontokra, és kezelheti a csomópontokat a megfelelő portálon keresztül.

Az Azure HDInsight ESP-vel az Apache Rangerrel részletes hozzáférés-vezérlési és adatelfedési szabályzatokat hozhat létre és kezelhet. Ezt a következő helyen tárolt adatok esetében teheti meg:

• Fájlok

• Mappák

• Adatbázisok

• Táblázatok

• Rows (Sorok)

• Oszlopok

A Hadoop-rendszergazda konfigurálhatja az Azure RBAC-t a Apache Hive, a HBase, a Kafka és a Spark védelméhez az Apache Ranger ezen beépülő moduljaival.

• Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez

• A Rapid7-ügynök manuális telepítése

• A Qualys-ügynök manuális telepítése

• Szkriptműveletek használata

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: Az Azure HDInsight-fürtök és a kapcsolódó erőforrások biztonságos beállításainak kényszerítéséhez használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] beállítást.

• Az Azure Policy konfigurálása és kezelése

• A Azure Policy effektusok ismertetése

Felelősség: Ügyfél

PV-3: Biztonságos konfigurációk létrehozása számítási erőforrásokhoz

Útmutató: Az Ubuntu-rendszerképek a közzétételt követő három hónapon belül elérhetővé válnak az új Azure HDInsight-fürt létrehozásához. A futó fürtök nincsenek automatikusan kitöltve. Az ügyfeleknek szkriptműveleteket vagy más mechanizmusokat kell használniuk a futó fürtök javításához. Ajánlott eljárásként futtathatja ezeket a szkriptműveleteket, és közvetlenül a fürt létrehozása után alkalmazhat biztonsági frissítéseket

A Microsoft Defender for Cloud és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, a tárolókat és másokat is.

• A Microsoft Defender for Cloud javaslatainak monitorozása

• Az operációs rendszer javítási ütemezésének konfigurálása Linux-alapú HDInsight-fürtökhöz

Felelősség: Ügyfél

PV-4: A számítási erőforrások biztonságos konfigurációinak fenntartása

Útmutató: A Microsoft által felügyelt és karbantartott Azure HDInsight operációsrendszer-rendszerképek. Azonban ön felelős a rendszerkép operációsrendszer-szintű állapotkonfigurációjának implementálásáért.

A Microsoft Defender for Cloud és a Azure Policy használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrásainak konfigurációs kockázatait, beleértve a virtuális gépeket és a tárolókat is. Ezeket az erőforrásokat a szervezet által megkövetelt operációsrendszer-biztonsági konfiguráció fenntartásához is használhatja:

• Azure Resource Manager (ARM-) sablonok.

• Egyéni operációsrendszer-lemezképek.

• Azure Automation állapotkonfiguráció.

A Microsoft virtuálisgép-sablonok Azure Automation State Configuration kombinálva segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

• A Microsoft Defender for Cloud biztonságirés-felmérési javaslatainak megvalósítása

• Azure-beli virtuális gép létrehozása ARM-sablonból

• Azure Automation State Configuration áttekintése

Felelősség: Megosztott

PV-5: Egyéni operációs rendszer és tárolólemezképek biztonságos tárolása

Útmutató: A HDInsight lehetővé teszi az ügyfelek számára az operációsrendszer-lemezképek vagy tárolólemezképek kezelését. Az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez. Az Azure Shared Image Gallery használatával megoszthatja a rendszerképeket a szervezet különböző felhasználóival, szolgáltatásnevekkel vagy Azure AD csoportjaival. Tárolórendszerképeket tárolhat Azure Container Registry, és az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá.

• Az Azure RBAC ismertetése

• Az Azure RBAC for Container Registry ismertetése

• Az Azure RBAC konfigurálása

• Shared Image Gallery áttekintése

Felelősség: Ügyfél

PV-6: Szoftveres biztonsági rések felmérése

Útmutató: A HDInsight külső megoldással végezhet biztonságirés-felméréseket hálózati eszközökön és webalkalmazásokon. Távoli vizsgálatok során ne használjon egyetlen állandó rendszergazdai fiókot. Fontolja meg a JIT kiépítési módszerének implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak biztonsági rések vizsgálatára kell használni.

Szükség szerint exportálja a vizsgálati eredményeket konzisztens időközönként, és hasonlítsa össze az eredményeket a korábbi vizsgálatokkal annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e.

• A Rapid7-ügynök manuális telepítése

• A Qualys-ügynök manuális telepítése

• Szkriptműveletek használata

Felelősség: Ügyfél

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: A HDInsight-fürtök futtatása nem automatikusan készült. Csak szkriptműveleteket vagy más mechanizmusokat használjon a futó fürtök javításához. Ajánlott eljárásként futtathatja ezeket a szkriptműveleteket, és közvetlenül a fürt létrehozása után alkalmazhat biztonsági frissítéseket.

• Az operációs rendszer javítási ütemezésének konfigurálása Linux-alapú Azure HDInsight-fürtökhöz

• Szkriptműveletek használata

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

Kövesse a Microsoft cloud behatolástesztelési szabályainak előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. Használja a Microsoft Red Teaming stratégiáját és végrehajtását. Végezze el az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, -szolgáltatásokon és -alkalmazásokon.

• Behatolási tesztek az Azure-ban

• Behatolástesztelési beavatkozási szabályok

• Riasztási tesztek a Microsoft-felhőben

Felelősség: Megosztott

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-1: Végpontészlelés és -válasz használata

Útmutató: Az Azure HDInsight nem támogatja natív módon a defendert. ClamAV-t használ. Továbbítja a ClamAV-naplókat egy központi SIEM-nek vagy más észlelési és riasztási rendszernek.

• A Clamscan ismertetése

Felelősség: Ügyfél

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: Az Azure HDInsight rendelkezik a Clamscan előtelepített és engedélyezett telepítésével a fürtcsomópont lemezképeihez. Azonban kezelnie kell a szoftvert, és manuálisan kell összesítenie/monitoroznia a Clamscan által előállított naplókat.

• A Clamscan for Azure HDInsight ismertetése

Felelősség: Ügyfél

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Az Azure HDInsight rendelkezik a Clamscan előtelepített és engedélyezett telepítésével a fürtcsomópont lemezképeihez. A Clamscan automatikusan elvégzi a motor- és definíciófrissítéseket, és frissíti a kártevőirtó-aláírásokat a ClamAV hivatalos vírusaláírási adatbázisa alapján.

• A Clamscan for Azure HDInsight ismertetése

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Ha azure Key Vault használ az Azure HDInsight üzembe helyezésével, rendszeresen tesztelje az ügyfél által felügyelt kulcsok biztonsági másolatának visszaállítását.

• Saját kulcs használata Apache Kafka az Azure HDInsightban

• Key Vault kulcsok visszaállítása az Azure-ban

Felelősség: Ügyfél

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Ha az Azure Key Vault használja az Azure HDInsight üzemelő példányával, engedélyezze a helyreállítható törlést Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelme érdekében.

• Helyreállítható törlés és a végleges törléssel szembeni védelem engedélyezése kulcstartóban

Felelősség: Ügyfél

Következő lépések

• Az Azure Security Benchmark v2 áttekintésének megtekintése
• További tudnivalók az Azure biztonsági alapterveiről