Garis besar keamanan Azure untuk Microsoft Azure HDInsight

Garis besar keamanan ini menerapkan panduan dari Tolok Ukur Keamanan Azure versi 2.0 hingga HDInsight. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark dan panduan terkait yang berlaku untuk Microsoft Azure HDInsight.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Tolok Ukur Keamanan Azure. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk HDInsight, dan kontrol yang direkomendasikan secara kata demi kata oleh panduan global, telah dikecualikan. Untuk melihat cara HDInsight memetakan sepenuhnya ke Tolok Ukur Keamanan Azure, lihat file lengkap terkait pemetaan garis besar keamanan HDInsight.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Keamanan perimeter di Microsoft Azure HDInsight dicapai melalui jaringan virtual. Admin perusahaan dapat membuat kluster di dalam jaringan virtual (VNET) dan menggunakan kelompok keamanan jaringan (NSG) untuk membatasi akses ke jaringan virtual. Hanya alamat IP yang diizinkan dalam aturan NSG masuk yang dapat berkomunikasi dengan kluster Azure HDInsight. Konfigurasi ini menyediakan keamanan perimeter. Semua kluster yang disebarkan dalam jaringan virtual juga akan memiliki titik akhir privat. Titik akhir tersebut akan diselesaikan menjadi alamat IP privat di dalam Jaringan Virtual. Ini akan menyediakan akses HTTP privat ke gateway kluster.

Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal menurut aturan NSG Anda. Untuk aplikasi spesifik yang terdefinisi dengan baik seperti aplikasi tiga tingkat, ini bisa menjadi penolakan secara default yang sangat aman.

Port umumnya diperlukan di semua jenis kluster:

• 22-23 - Akses SSH ke sumber daya kluster

• 443 - Ambari, WebHCat REST API, HiveServer ODBC, dan JDBC

Untuk jenis kluster tertentu dan detail selengkapnya, tinjau artikel ini.

Anda dapat membuat kluster HDInsight privat dengan mengonfigurasi properti jaringan tertentu dalam templat Azure Resource Manager (ARM). Ada dua properti yang Anda gunakan untuk membuat kluster HDInsight privat:

• Hapus alamat IP publik dengan mengatur keluar koneksi penyedia sumber daya.

• Aktifkan Azure Private Link dan gunakan Titik Akhir Privat dengan mengatur PrivateLink menjadi aktif.

Untuk informasi selengkapnya, lihat referensi berikut ini:

• Membuat Kluster HDInsight privat

• Arsitektur Jaringan Virtual HDInsight

• Penyebaran Jaringan Virtual HDInsight

• Keamanan Lapisan Transportasi di Azure HDInsight

• kontrol lalu lintas jaringan di Microsoft Azure HDInsight

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Gunakan Azure Private Link untuk mengaktifkan akses privat ke HDInsight dari jaringan virtual Anda tanpa melintasi internet. Akses privat menambahkan ukuran pertahanan mendalam ke keamanan lalu lintas dan autentikasi Azure.

• Mengamankan dan mengisolasi kluster Azure HDInsight dengan Private Link

Tanggung Jawab: Pelanggan

NS-4: Melindungi aplikasi dan layanan dari serangan jaringan eksternal

Panduan: Lindungi sumber daya HDInsight dari serangan dari jaringan eksternal. Serangan dapat mencakup:

• Serangan penolakan layanan terdistribusi (DDoS)

• Serangan khusus aplikasi

• Lalu lintas internet yang tidak diminta dan berpotensi berbahaya

Gunakan Azure Firewall untuk melindungi aplikasi dan layanan dari lalu lintas yang berpotensi berbahaya dari internet dan lokasi eksternal lainnya. Lindungi aset dari serangan DDoS dengan mengaktifkan DDoS Protection Standar di jaringan virtual Azure. Gunakan Microsoft Defender untuk Cloud untuk mendeteksi risiko salah konfigurasi dalam sumber daya terkait jaringan.

• Tolak Komunikasi dengan alamat IP berbahaya yang diketahui

• Menggunakan Enkripsi untuk melindungi data menerapkan kebijakan bawaan untuk Microsoft Azure HDInsight

• Dokumentasi Azure Firewall

• Mengelola Standar Azure DDoS Protection menggunakan portal Microsoft Azure

Tanggung Jawab: Pelanggan

NS-6: Menyederhanakan aturan keamanan jaringan

Panduan: Gunakan tag layanan Microsoft Azure Virtual Network untuk menentukan kontrol akses jaringan untuk sumber daya HDInsight di NSG atau Azure Firewall. Anda dapat menggunakan tag layanan sebagai pengganti alamat IP tertentu saat membuat aturan keamanan. Tentukan nama tag layanan seperti "HDInsight" di sumber aturan atau bidang tujuan yang sesuai untuk mengizinkan atau menolak lalu lintas untuk layanan tersebut. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan memperbarui secara otomatis tag layanan saat alamat berubah.

• Pahami dan menggunakan Tag Layanan untuk Microsoft Azure HDInsight

• Pahami dan gunakan Tag Layanan

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Ikuti praktik terbaik untuk keamanan DNS guna mengurangi terhadap serangan umum seperti:

• DNS menggantung

• Serangan amplifikasi DNS

• Keracunan DNS dan spoofing

Saat Anda menggunakan Azure DNS sebagai layanan DNS Anda, pastikan untuk melindungi zona DNS dan catatan dari perubahan yang tidak disengaja atau berbahaya dengan menggunakan Kontrol Akses Berbasis Peran (RBAC) Azure dan kunci sumber daya.

• Azure HDInsight - Terhubung di jaringan lokal

• Ringkasan Azure DNS

• Panduan Penyebaran Sistem Nama Domain (DNS) Aman

• Mencegah entri DNS yang menggantung dan hindari pengambilalihan subdomain

• Merencanakan jaringan virtual untuk Azure HDInsight

Tanggung Jawab: Pelanggan

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: HDInsight menggunakan Microsoft Azure AD sebagai layanan manajemen identitas dan akses defaultnya. Lakukan standardisasi pada Azure Active Directory untuk mengatur identitas dan manajemen akses organisasi Anda:

• Sumber daya Microsoft Cloud. Sumber daya meliputi:

  • Portal Microsoft Azure

  • Azure Storage

  • VM Linux dan Windows Azure

  • Azure Key Vault

  • Platform-as-a-service (PaaS)

  • Aplikasi software as a service (SaaS)

• Sumber daya organisasi Anda, seperti aplikasi di Azure atau sumber daya jaringan perusahaan Anda.

Mengamankan Azure AD harus menjadi prioritas utama dalam praktik keamanan cloud organisasi Anda. Azure AD memberikan skor keamanan identitas untuk membantu Anda membandingkan postur keamanan identitas Anda dengan rekomendasi praktik terbaik Microsoft. Gunakan skor untuk mengukur seberapa dekat konfigurasi Anda cocok dengan rekomendasi praktik terbaik, dan untuk melakukan peningkatan dalam postur keamanan Anda.

Pelajari cara mengelola kluster Azure HDInsight dengan Enterprise Security Package. Anda dapat menghubungkan kluster ini ke domain sehingga pengguna dapat menggunakan info masuk domain mereka untuk mengautentikasi dengan kluster. Tiga peran bawaan Azure RBAC utama tersedia untuk pengelolaan sumber daya HDInsight:

• Pembaca: Akses baca ke sumber daya HDInsight termasuk rahasia

• Operator kluster HDInsight: Akses baca dan tulis ke sumber daya HDInsight termasuk rahasia

• Kontributor: Akses baca dan tulis termasuk rahasia dan kemampuan untuk melakukan tindakan skrip

Untuk keamanan tingkat baris, Apache Ranger dapat diimplementasikan untuk mengatur kebijakan kontrol akses untuk Apache Hive.

• Mengonfigurasi Apache Ranger

• Mengonfigurasi kluster HDInsight untuk integrasi Azure Active Directory dengan Enterprise Security Package

• Penyewaan di Azure Active Directory

• Cara membuat dan mengonfigurasikan instans Azure AD

• Gunakan penyedia identitas eksternal untuk aplikasi

• HDInsight memigrasikan konfigurasi kluster akses granular

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: HDInsight mendukung identitas terkelola untuk sumber daya Azure miliknya. Gunakan identitas terkelola dengan HDInsight alih-alih membuat perwakilan layanan untuk mengakses sumber daya lain. Identitas terkelola Azure dapat secara native mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Microsoft Azure AD. Autentikasi didukung melalui aturan pemberian akses yang telah ditentukan sebelumnya. Autentikasi ini tidak menggunakan info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

• Memahami Identitas Terkelola dengan Microsoft Azure HDInsight

Tanggung Jawab: Pelanggan

IM-3: Menggunakan akses menyeluruh (SSO) Microsoft Azure AD untuk akses aplikasi

Panduan: Gunakan Microsoft Azure HDInsight ID Broker untuk masuk ke kluster ESP dengan menggunakan autentikasi multifaktor, tanpa memberikan kata sandi apa pun. Jika sudah masuk ke layanan Azure lain, seperti portal Microsoft Azure, Anda dapat masuk ke kluster Microsoft Azure HDInsight Anda dengan pengalaman akses menyeluruh.

• Cara mengaktifkan Microsoft Azure HDInsight ID Broker

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Jika menggunakan kode apa pun yang terkait dengan penyebaran Microsoft Azure HDInsight Anda, Anda dapat menerapkan Pemindai Info masuk untuk mengidentifikasi info masuk dalam kode. Credential Scanner juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli untuk mengidentifikasi info masuk atau bentuk rahasia lain dalam kode.

• Merekomendasikan mengaktifkan pemindaian info masuk untuk mengidentifikasi dan menghilangkan

• Cara menyiapkan Pemindai Info Masuk

• Pemindaian rahasia GitHub

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak istimewa.

PA-1: Melindungi dan membatasi pengguna dengan hak sangat istimewa

Panduan: Peran Azure AD bawaan yang paling penting adalah Administrator Global dan Administrator Peran Istimewa. Pengguna dengan dua peran ini dapat mendelegasikan peran administrator.

• Administrator Global atau Administrator Perusahaan memiliki akses ke semua fitur administratif Azure AD, dan layanan yang menggunakan identitas Azure AD.

• Administrator Peran Istimewa dapat mengelola penetapan peran di Azure AD dan Azure AD Privileged Identity Management (PIM). Peran ini dapat mengelola semua aspek PIM dan unit administrasi.

Gunakan HDInsight ESP, yang memiliki peran istimewa berikut:

• Administrator Kluster

• Operator Kluster

• Administrator Layanan

• Operator Layanan

• Pengguna Kluster

Buat prosedur operasi standar seputar penggunaan akun administratif khusus. Batasi jumlah akun atau peran yang sangat istimewa, dan lindungi akun ini pada tingkat yang lebih tinggi. Pengguna yang sangat istimewa dapat secara langsung atau tidak langsung membaca dan memodifikasi semua sumber daya Azure Anda.

Anda dapat mengaktifkan akses istimewa just-in-time (JIT) ke sumber daya Azure dan Azure AD menggunakan Azure AD PIM. JIT memberikan izin sementara untuk melakukan tugas istimewa hanya ketika pengguna membutuhkannya. PIM juga dapat menghasilkan pemberitahuan keamanan ketika ada aktivitas yang mencurigakan atau tidak aman di organisasi Microsoft Azure AD Anda.

• Membuat Kluster Apache Hadoop di HDInsight

• Izin peran administrator di Microsoft Azure Active Directory

• Menggunakan pemberitahuan keamanan Azure Privileged Identity Management

• Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di Azure Active Directory

• Lindungi dan Batasi Pengguna yang Sangat Istimewa

• Manajemen Identitas

Tanggung Jawab: Pelanggan

PA-3: Tinjau dan rekonsiliasi akses pengguna secara teratur

Panduan: HDInsight menggunakan akun Azure AD untuk mengelola sumber dayanya. Tinjau akun pengguna dan akses penugasan secara teratur untuk memastikan akun dan akses pengguna valid. Anda dapat menggunakan Azure AD dan tinjauan akses untuk mengulas keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran. Pelaporan Microsoft Azure Active Directory dapat menyediakan log untuk membantu menemukan akun yang kedaluwarsa. Anda juga dapat membuat alur kerja laporan ulasan akses di Azure AD PIM untuk memudahkan proses peninjauan.

Anda dapat mengonfigurasi Azure AD PIM untuk memberi tahu Anda ketika ada terlalu banyak akun administrator. PIM dapat mengidentifikasi akun administrator yang kedaluwarsa atau dikonfigurasi dengan tidak benar.

• Membuat tinjauan akses peran sumber daya Azure di Privileged Identity Management (PIM)

• Cara menggunakan identitas Microsoft Azure Active Directory dan tinjauan akses

• Paket Keamanan Perusahaan untuk Azure HDInsight

• HDInsight Memigrasikan Konfigurasi Kluster Akses Granular

Tanggung Jawab: Pelanggan

PA-6: Menggunakan stasiun kerja akses dengan hak istimewa

Panduan: Stasiun kerja yang aman dan terisolasi sangat penting untuk keamanan peran sensitif seperti administrator, pengembang, dan operator layanan penting. Gunakan stasiun kerja pengguna yang sangat aman dan Azure Bastion untuk tugas administratif yang terkait dengan pengelolaan sumber daya HDInsight Anda.

Gunakan Azure AD, Microsoft Defender ATP, atau Microsoft Intune untuk menyebarkan stasiun kerja pengguna yang aman dan terkelola untuk tugas administratif. Anda dapat mengelola stasiun kerja aman secara terpusat untuk menerapkan konfigurasi keamanan yang mencakup:

• Autentikasi kuat

• Garis besar perangkat lunak dan perangkat keras

• Akses jaringan dan logis yang dibatasi

Untuk informasi selengkapnya, lihat referensi berikut ini:

• Penyebaran stasiun kerja akses istimewa

• Menyebarkan stasiun kerja akses dengan hak istimewa

Tanggung Jawab: Pelanggan

PA-7: Ikuti prinsip hak istimewa paling sedikit dari administrasi yang cukup

Panduan: HDInsight terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.

Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan JIT dari Azure AD PIM. Tinjau peran dan tugas secara berkala.

Gunakan peran bawaan untuk memberikan izin, dan hanya buat peran khusus jika diperlukan. HDInsight menggunakan Apache Ranger untuk memungkinkan kontrol yang lebih terperinci atas izin.

• Memigrasi ke akses berbasis peran yang terperinci untuk konfigurasi kluster

• Sinkronisasi LDAP di Ranger dan Apache Ambari di Azure HDInsight

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)

• Cara mengonfigurasi RBAC di Azure

• Cara menggunakan identitas Azure Active Directory dan tinjauan akses

Tanggung Jawab: Pelanggan

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Dalam skenario dukungan di mana Microsoft perlu mengakses data pelanggan, HDInsight mendukung Customer Lockbox. Ini menyediakan antarmuka bagi Anda untuk meninjau permintaan akses data pelanggan dan menyetujui atau menolak permintaan tersebut.

• Memahami Customer Lockbox

Tanggung Jawab: Pelanggan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Panduan: Gunakan tag pada sumber daya yang terkait dengan kluster Microsoft Azure HDInsight Anda untuk membantu melacak sumber daya Azure yang menyimpan atau memproses informasi sensitif. Mengklasifikasikan dan mengidentifikasi data sensitif menggunakan Microsoft Purview. Gunakan layanan untuk data apa pun yang disimpan dalam database SQL atau akun Azure Storage yang terkait dengan kluster HDInsight Anda.

Untuk platform yang mendasarinya, yang dikelola Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Microsoft berusaha keras untuk menjaga agar tidak terjadi kehilangan dan pemaparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

• Gambaran umum Microsoft Purview

• Cara membuat dan menggunakan tag

• Memahami perlindungan data pelanggan di Azure

Tanggung Jawab: Bersama

DP-2: Melindungi data sensitif

Panduan: Terapkan langganan terpisah dan grup manajemen untuk pengembangan, pengujian, dan produksi. Anda harus memisahkan kluster Azure HDInsight dan akun penyimpanan terkait dengan jaringan/subnet virtual, menandainya dengan tepat, dan mengamankannya dalam NSG atau Azure Firewall. Data kluster harus terdapat dalam Akun Azure Storage yang aman atau Azure Data Lake Storage (Gen1 atau Gen2).

• Pilih opsi penyimpanan untuk kluster Microsoft Azure HDInsight Anda

• Cara mengamankan Azure Data Lake Storage

• Cara mengamankan Azure Storage Accounts

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Agar kluster Microsoft Azure HDInsight menyimpan atau memproses informasi sensitif, tandai kluster dan sumber daya terkait sebagai hal yang sensitif menggunakan tag. Untuk mengurangi risiko kehilangan data melalui eksfiltrasi, batasi lalu lintas jaringan keluar untuk kluster Microsoft Azure HDInsight menggunakan Azure Firewall.

HDInsight tidak mendukung pemantauan otomatis untuk transfer data sensitif yang tidak sah secara native.

Untuk platform yang mendasarinya, yang dikelola Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Microsoft berusaha keras untuk menjaga agar tidak terjadi kehilangan dan pemaparan data pelanggan. Untuk memastikan keamanan data pelanggan dalam Azure, Microsoft telah menerapkan dan memelihara serangkaian kontrol dan kemampuan perlindungan data yang kuat.

• Cara membatasi lalu lintas keluar untuk Kluster Microsoft Azure HDInsight dengan Azure Firewall

• Memahami perlindungan data pelanggan di Azure

Tanggung Jawab: Bersama

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: HDInsight mendukung enkripsi data saat transit dengan TLS v1.2 atau yang lebih tinggi. Mengenkripsi semua informasi sensitif saat transit. Pastikan bahwa setiap klien yang terhubung ke kluster Microsoft Azure HDInsight atau penyimpanan data kluster Anda (Akun Azure Storage atau Azure Data Lake Storage Gen1/Gen2) dapat menegosiasikan TLS 1.2 atau yang lebih tinggi. Sumber daya Microsoft Azure akan menegosiasikan TLS 1.2 secara default.

Untuk melengkapi kontrol akses, lindungi data dalam perjalanan terhadap serangan "di luar band" seperti penangkapan lalu lintas. Gunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Versi dan protokol SSL, TLS, dan SSH yang kedaluwarsa, dan cipher yang lemah harus dinonaktifkan.

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

• Memahami enkripsi saat transit dengan Microsoft Azure

• Informasi tentang Keamanan TLS

• Enkripsi ganda untuk data Microsoft Azure saat transit

• Pahami enkripsi Azure Data Lake Storage saat transit

• Pahami Enkripsi Akun Azure Storage saat Transit

Tanggung Jawab: Dibagikan

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Jika menggunakan Azure SQL Database untuk menyimpan metadata Apache Hive dan Apache Oozie, pastikan data SQL tetap dienkripsi setiap saat. Untuk Akun Azure Storage dan Data Lake Storage (Gen1 atau Gen2), sebaiknya izinkan Microsoft mengelola kunci enkripsi Anda. Namun, Anda memiliki opsi untuk mengelola kunci Anda sendiri.

HDInsight mendukung beberapa jenis enkripsi dalam dua lapisan yang berbeda:

• Enkripsi Sisi Server (Server Side Encryption, SSE) - SSE dilakukan oleh layanan penyimpanan. Dalam HDInsight, SSE digunakan untuk mengenkripsi disk OS dan disk data. Hal ini diaktifkan secara default. SSE adalah layanan enkripsi lapisan 1.

• Enkripsi di host menggunakan kunci yang dikelola platform - Mirip dengan SSE, jenis enkripsi ini dilakukan oleh layanan penyimpanan. Namun, ini hanya untuk disk sementara dan tidak diaktifkan secara default. Enkripsi di host juga merupakan layanan enkripsi lapisan 1.

• Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan - Jenis enkripsi ini dapat digunakan pada data dan disk sementara. Ini tidak diaktifkan secara default dan mengharuskan pelanggan untuk menyediakan kunci mereka sendiri melalui brankas kunci Azure. Enkripsi saat tidak aktif merupakan layanan enkripsi lapisan 2.

• Enkripsi ganda Azure HDInsight untuk data tidak aktif

• Cara mengelola kunci enkripsi untuk Akun Azure Storage

• Cara membuat Azure Data Lake Storage menggunakan kunci enkripsi yang dikelola pelanggan

• Cara mengonfigurasi Enkripsi Data Transparan untuk Azure SQL Database menggunakan kunci yang dikelola pelanggan

Tanggung Jawab: Dibagikan

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-1: Memastikan tim keamanan memiliki visibilitas terhadap risiko aset

Panduan: Pastikan untuk memberikan izin Pembaca Keamanan kepada tim keamanan di penyewa dan langganan Azure Anda, sehingga mereka dapat memantau risiko keamanan dengan menggunakan Microsoft Defender untuk Cloud.

Pemantauan untuk risiko keamanan dapat menjadi tanggung jawab tim keamanan pusat atau tim lokal, tergantung cara Anda menyusun tanggung jawab. Selalu agregasikan wawasan dan risiko keamanan secara terpusat dalam suatu organisasi.

Anda dapat menerapkan izin Security Reader secara luas ke seluruh Grup Manajemen Root penyewa, atau izin cakupan ke grup atau langganan manajemen tertentu.

• Gambaran Umum Peran Pembaca Keamanan

• Gambaran Umum Grup Manajemen Azure

Tanggung Jawab: Pelanggan

AM-2: Memastikan tim keamanan memiliki akses ke inventaris aset dan metadata

Panduan: Pastikan bahwa tim keamanan memiliki akses ke inventaris aset yang terus diperbarui di Azure, seperti HDInsight. Tim keamanan sering membutuhkan inventaris ini untuk mengevaluasi potensi paparan organisasi mereka terhadap risiko yang timbul, dan sebagai input untuk terus meningkatkan keamanan. Buat grup Azure AD untuk berisi tim keamanan resmi organisasi Anda. Tetapkan akses baca ke semua sumber daya HDInsight kepada mereka. Anda dapat menyederhanakan proses dengan menggunakan satu penetapan peran tingkat tinggi dalam langganan Anda.

Menerapkan tag ke sumber daya Azure, grup sumber daya, dan langganan Anda untuk mengaturnya secara logis ke dalam taksonomi. Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

• Cara membuat kueri dengan Azure Resource Graph Explorer

• Untuk informasi selengkapnya tentang memberi tag aset, lihat panduan keputusan penamaan dan pemberian tag sumber daya

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Gunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan guna memicu peringatan saat mereka mendeteksi layanan yang tidak disetujui.

• Cara mengonfigurasi dan mengelola Azure Policy

• Cara menolak jenis sumber daya tertentu dengan Azure Policy

• Cara membuat kueri dengan Azure Resource Graph Explorer

Tanggung Jawab: Pelanggan

AM-6: Hanya gunakan aplikasi yang disetujui dalam sumber daya komputasi

Panduan: Gunakan Azure Resource Graph untuk membuat kueri/menemukan semua sumber daya seperti komputasi, penyimpanan, jaringan, port, dan protokol, dll. termasuk kluster Microsoft Azure HDInsight dalam langganan Anda. Hapus sumber daya Azure yang tidak disetujui yang Anda temukan. Untuk simpul kluster Microsoft Azure HDInsight, implementasikan solusi pihak ketiga untuk menghapus atau memperingatkan pada perangkat lunak yang tidak disetujui.

• Cara membuat kueri dengan Azure Resource Graph

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Azure HDInsight tidak mendukung defender secara native. Azure HDInsight menggunakan ClamAV. Namun, saat menggunakan ESP untuk HDInsight, Anda dapat menggunakan beberapa kemampuan deteksi ancaman bawaan pada Microsoft Defender untuk Cloud. Anda juga dapat mengaktifkan Microsoft Defender untuk mesin virtual Anda yang terkait dengan HDInsight.

Teruskan log apa pun dari HDInsight ke SIEM Anda yang dapat digunakan untuk menyiapkan deteksi ancaman khusus. Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokus pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Peringatan dapat bersumber dari data log, agen, atau data lainnya.

• Perlindungan ancaman di Microsoft Defender untuk Cloud

• Panduan referensi peringatan keamanan Microsoft Defender untuk Cloud

• Membuat aturan analitik kustom untuk mendeteksi ancaman

• Inteligensi ancaman cyber di Microsoft Azure Sentinel

• Cara onboard kluster Microsoft Azure HDInsight ke Azure Monitor

• Cara mengkonfigurasi Periode Retensi Penyimpanan Ruang Kerja Analitik Log

Tanggung Jawab: Pelanggan

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

Panduan: Gunakan Microsoft Defender untuk Cloud dan rekomendasi perlindungan jaringan remediasi untuk jaringan virtual, subnet, dan NSG yang digunakan untuk mengamankan kluster Microsoft Azure HDInsight Anda. Aktifkan log pengiriman dan log alur NSG ke Akun Azure Storage untuk audit lalu lintas. Anda juga dapat mengirim log alur NSG ke ruang kerja Azure Log Analytics dan menggunakan Azure Traffic Analytics untuk memberikan insight tentang alur lalu lintas di cloud Azure Anda. Beberapa keuntungan yang disediakan Azure Traffic Analytics adalah kemampuan untuk:

• Menampilkan aktivitas jaringan dan mengidentifikasi hot spot.

• Mengidentifikasi ancaman keamanan.

• Memahami pola arus lalu lintas

• Menentukan kesalahan konfigurasi jaringan.

HDInsight mencatat semua lalu lintas jaringan yang diprosesnya untuk akses pelanggan. Aktifkan kemampuan alur jaringan dalam sumber daya penawaran yang Anda sebarkan.

• Cara mengaktifkan log alur kelompok keamanan jaringan

• Log dan metrik Azure Firewall

• Cara mengaktifkan dan menggunakan Analitik Lalu Lintas

• Pemantauan dengan Network Watcher

• Solusi pemantauan jaringan Azure di Azure Monitor

• Menggunakan log Azure Monitor untuk memantau kluster HDInsight

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Log aktivitas tersedia secara otomatis. Log berisi semua PUT, POST, dan DELETE, tetapi bukan GET, operasi untuk sumber daya HDInsight Anda kecuali operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Aktifkan log sumber daya Azure untuk HDInsight. Anda dapat menggunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log. Log ini dapat menjadi penting untuk menyelidiki insiden keamanan dan melakukan latihan forensik.

HDInsight juga menghasilkan log audit keamanan untuk akun administrasi lokal. Mengaktifkan log audit admin lokal ini.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Memahami pengelogan dan jenis log yang berbeda di Azure

• Memahami pengumpulan data Microsoft Defender untuk Cloud

• Cara onboarding kluster Microsoft Azure HDInsight ke Azure Monitor

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan logging untuk sumber daya HDInsight Anda untuk dianalisis. Untuk setiap sumber log, pastikan Anda memiliki:

• Pemilik data yang ditetapkan

• Panduan akses

• Lokasi penyimpanan

• Alat yang Anda gunakan untuk memproses dan mengakses data

• Persyaratan retensi data

Pastikan untuk mengintegrasikan log aktivitas Azure ke dalam pengelogan pusat Anda.

Serap log melalui Azure Monitor untuk menggabungkan data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Log Analytics untuk membuat kueri dan melakukan analitik.

Gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang.

Mengaktifkan dan memasukkan data ke Microsoft Sentinel atau SIEM pihak ketiga. Banyak organisasi menggunakan Microsoft Sentinel untuk data “panas” yang sering mereka gunakan dan Azure Storage untuk data “dingin” yang lebih jarang mereka gunakan.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Cara melakukan onboard Microsoft Azure Sentinel

• Cara onboard kluster Microsoft Azure HDInsight ke Azure Monitor

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Pastikan bahwa setiap akun penyimpanan atau ruang kerja Analisis Log yang digunakan untuk menyimpan log HDInsight memiliki periode penyimpanan log yang ditetapkan sesuai dengan peraturan kepatuhan organisasi Anda.

• Cara mengkonfigurasi Periode Retensi Penyimpanan Ruang Kerja Analitik Log

• Menyimpan log sumber daya di Akun Azure Storage

• Cara onboard kluster Microsoft Azure HDInsight ke Azure Monitor

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Microsoft mempertahankan sumber waktu untuk sebagian besar layanan PaaS dan SaaS platform Azure. Untuk VM Anda, gunakan server Network Time Protocol (NTP) default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan khusus. Jika Anda perlu mendirikan NTP server Anda sendiri, pastikan bahwa Anda mengamankan port layanan UDP 123. Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.

• Cara mengonfigurasi sinkronisasi waktu untuk sumber daya komputasi Azure Windows

• Cara mengonfigurasi sinkronisasi waktu untuk sumber daya komputasi Azure Linux

• Cara menonaktifkan UDP masuk untuk layanan Azure

Tanggung Jawab: Bersama

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Gunakan alias Azure Policy di namespace "Microsoft.HDInsight" untuk membuat kebijakan khusus. Konfigurasikan kebijakan untuk mengaudit atau menegakkan konfigurasi jaringan kluster HDInsight Anda.

Jika Anda memiliki langganan Rapid7, Qualys, atau platform pengelolaan kerentanan lainnya, Anda memiliki opsi. Anda dapat menggunakan tindakan skrip untuk menginstal agen penilaian kerentanan di node kluster Azure HDInsight Anda dan mengelola node melalui portal masing-masing.

Dengan Azure HDInsight ESP, Anda dapat menggunakan Apache Ranger untuk membuat dan mengelola kontrol akses berbutir halus dan kebijakan kebingungan data. Anda dapat melakukannya untuk data Anda yang tersimpan di:

• File

• Folder

• Database

• Tabel

• Baris

• Kolom

Admin Hadoop dapat mengonfigurasi kontrol akses berbasis peran (RBAC) untuk mengamankan Apache Hive, HBase, Kafka, dan Spark menggunakan plugin tersebut di Apache Ranger.

• Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan

• Cara Menginstal Rapid7 Agent Secara Manual

• Cara menginstal Qualys Agent Secara Manual

• Cara menggunakan tindakan skrip

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Gunakan Azure Policy[tolak] dan [sebarkan jika tidak ada] untuk menerapkan pengaturan aman untuk kluster Microsoft Azure HDInsight dan sumber daya terkait.

• Cara mengonfigurasi dan mengelola Azure Policy

• Memahami Efek Azure Policy

Tanggung Jawab: Pelanggan

PV-3: Menetapkan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gambar Ubuntu menjadi tersedia untuk pembuatan kluster Azure HDInsight baru dalam waktu tiga bulan setelah diterbitkan. Kluster yang sedang berjalan tidak di-patch secara otomatis. Pelanggan harus menggunakan tindakan skrip atau mekanisme lain untuk melakukan patch pada kluster yang sedang berjalan. Untuk praktik terbaik, Anda dapat menjalankan tindakan skrip ini dan menerapkan pembaruan keamanan yang tepat setelah pembuatan kluster

Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk membuat konfigurasi aman pada semua sumber daya komputasi termasuk mesin virtual, kontainer, dan lainnya.

• Cara memantau rekomendasi Microsoft Defender untuk Cloud

• Konfigurasikan jadwal patching OS untuk kluster HDInsight berbasis Linux.

Tanggung Jawab: Pelanggan

PV-4: Mempertahankan konfigurasi yang aman untuk sumber daya komputasi

Panduan: Gambar Sistem Microsoft Azure HDInsight dikelola dan diperlihara oleh Microsoft. Namun, Anda bertanggung jawab untuk menerapkan konfigurasi status tingkat OS untuk gambar tersebut.

Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk menilai dan mengatasi risiko konfigurasi secara teratur pada sumber daya komputasi Azure Anda, termasuk mesin virtual, kontainer, dan lainnya. Anda juga dapat menggunakan sumber daya ini untuk mempertahankan konfigurasi keamanan sistem operasi yang dibutuhkan organisasi Anda:

• Template Azure Resource Manager (ARM).

• Gambar sistem operasi khusus.

• Konfigurasi status Azure Automation.

Template Microsoft VM yang dikombinasikan dengan Konfigurasi Status Azure Automation dapat membantu memenuhi dan memelihara persyaratan keamanan.

• Cara menerapkan rekomendasi penilaian kerentanan Microsoft Defender untuk Cloud

• Cara membuat Azure Virtual Machine dari templat ARM

• Gambaran Umum Konfigurasi Status Azure Automation

Tanggung Jawab: Dibagikan

PV-5: Menyimpan sistem operasi kustom dan gambar kontainer dengan aman

Panduan: HDInsight memungkinkan pelanggan mengelola gambar sistem operasi atau gambar kontainer. Gunakan RBAC Azure untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses gambar kustom Anda. Gunakan Azure Shared Image Gallery untuk membagikan gambar Anda ke pengguna yang berbeda, perwakilan layanan, atau grup Microsoft Azure AD di organisasi Anda. Simpan gambar kontainer di Azure Container Registry dan gunakan Azure RBAC untuk memastikan bahwa hanya pengguna berwenang yang memiliki akses.

• Memahami Azure RBAC

• Memahami Azure RBAC untuk Container Registry

• Cara mengonfigurasi Azure RBAC

• Ringkasan Shared Image Gallery

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: HDInsight dapat menggunakan solusi pihak ketiga untuk melakukan penilaian kerentanan pada perangkat jaringan dan aplikasi web. Saat melakukan pemindaian jarak jauh, jangan gunakan satu akun administratif secara terus-menerus. Pertimbangkan untuk menerapkan metodologi provisi JIT untuk akun pemindaian. Kredensial untuk akun pemindaian harus dilindungi, dipantau, dan digunakan hanya untuk pemindaian kerentanan.

Sebagaimana diperlukan, ekspor hasil pemindaian pada interval yang konsisten dan membandingkan hasil dengan pemindaian sebelumnya untuk memverifikasi bahwa kerentanan telah diremediasi.

• Cara Menginstal Rapid7 Agent Secara Manual

• Cara menginstal Qualys Agent Secara Manual

• Cara menggunakan Tindakan Skrip

Tanggung Jawab: Pelanggan

PV-7: Memperbaiki kerentanan perangkat lunak dengan cepat dan otomatis

Panduan: Menjalankan kluster HDInsight yang tidak diberi patch secara otomatis. Hanya gunakan tindakan skrip atau mekanisme lain untuk melakukan patch pada kluster yang sedang berjalan. Untuk praktik terbaik, Anda dapat menjalankan tindakan skrip ini dan menerapkan pembaruan keamanan yang tepat setelah pembuatan kluster.

• Cara mengonfigurasi jadwal patching OS untuk kluster Microsoft Azure HDInsight berbasis Linux

• Cara menggunakan tindakan skrip

Tanggung Jawab: Pelanggan

PV-8: Melakukan simulasi serangan rutin

Panduan: Lakukan uji penetrasi atau aktivitas tim merah pada sumber daya Azure Anda sesuai kebutuhan, dan pastikan perbaikan semua temuan keamanan penting.

Ikuti Aturan Keterlibatan Uji Penetrasi Cloud Microsoft untuk memastikan uji penetrasi Anda tidak melanggar kebijakan Microsoft. Gunakan strategi dan eksekusi Red Teaming Microsoft. Lakukan uji penetrasi situs langsung terhadap infrastruktur, layanan, dan aplikasi cloud yang dikelola Microsoft.

• Uji penetrasi di Azure

• Aturan Keterlibatan Uji Penetrasi

• Pembentukan Red Team Microsoft Cloud

Tanggung Jawab: Dibagikan

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-1: Menggunakan Deteksi dan Respons Titik Akhir

Panduan: Azure HDInsight tidak mendukung defender secara native. Azure HDInsight menggunakan ClamAV. Meneruskan log ClamAV ke SIEM terpusat atau sistem deteksi dan peringatan lainnya.

• Pahami Clamscan

Tanggung Jawab: Pelanggan

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan:: Microsoft Azure HDInsight dilengkapi dengan Clamscan yang telah diinstal sebelumnya dan diaktifkan untuk gambar simpul kluster. Namun, Anda harus mengelola perangkat lunak dan secara manual mengumpulkan/memantau log apa pun yang dihasilkan Clamscan.

• Pahami Clamscan untuk Microsoft Azure HDInsight

Tanggung Jawab: Pelanggan

ES-3: Memastikan perangkat lunak anti-malware dan tanda tangan diperbarui

Panduan:: Microsoft Azure HDInsight dilengkapi dengan Clamscan yang telah diinstal sebelumnya dan diaktifkan untuk gambar simpul kluster. Clamscan akan melakukan pembaruan mesin dan definisi secara otomatis lalu memperbarui tanda tangan anti-malware berdasarkan database tanda tangan virus resmi ClamAV.

• Pahami Clamscan untuk Microsoft Azure HDInsight

Tanggung Jawab: Pelanggan

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Jika Anda menggunakan Azure Key Vault dengan penyebaran Microsoft Azure HDInsight Anda, secara berkala uji pemulihan kunci yang dikelola pelanggan yang didukung.

• Cara membawa kunci Anda sendiri untuk Apache Kafka di Microsoft Azure HDInsight

• Cara memulihkan kunci Key Vault di Azure

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Jika Anda menggunakan Azure Key Vault dengan penerapan Microsoft Azure HDInsight Anda, aktifkan penghapusan lunak di Key Vault untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya.

• Cara mengaktifkan perlindungan penghapusan sementara dan menyeluruh di Key Vault

Tanggung Jawab: Pelanggan

Langkah berikutnya

• Lihat Gambaran umum Azure Security Benchmark V2
• Pelajari selengkapnya tentang Garis besar keamanan Azure