Azure HDInsight のエンタープライズ セキュリティの概要Overview of enterprise security in Azure HDInsight

Azure HDInsight には、エンタープライズ セキュリティ ニーズに対応するためのさまざまな方法が用意されています。Azure HDInsight offers a number of methods to address your enterprise security needs. これらのソリューションのほとんどは、既定ではアクティブ化されていません。Most of these solutions aren't activated by default. この柔軟性により、ユーザーにとって最も重要なセキュリティ機能を選択することができ、不要な機能に支払いを行う必要がありません。This flexibility allows you to choose the security features that are most important to you and helps you to avoid paying for features that you don't want. つまり、セットアップと環境で適切なソリューションが有効になっていることをユーザーが責任を持って確認する必要があるということでもあります。This flexibility also means it's your responsibility to make sure correct solutions are enabled for your setup and environment.

この記事では、セキュリティ ソリューションについて、境界セキュリティ、認証、承認、暗号化という従来からある 4 つの柱に分けて説明します。This article looks at security solutions by dividing security solutions into four traditional security pillars: perimeter security, authentication, authorization, and encryption.

この記事では、Azure HDInsight Enterprise セキュリティ パッケージ (ESP) についても説明します。ESP は、Active Directory ベースの認証、マルチユーザーのサポート、ロールベースのアクセス制御を HDInsight のクラスターに提供します。This article also introduces the Azure HDInsight Enterprise Security Package (ESP), which provides Active Directory-based authentication, multi-user support, and role-based access control for HDInsight clusters.

エンタープライズ セキュリティの柱Enterprise security pillars

エンタープライズ セキュリティを確認する 1 つの方法は、コントロールの種類に基づいて、セキュリティ ソリューションを 4 つの主要なグループに分けることです。One way of looking at enterprise security divides security solutions into four main groups based on the type of control. セキュリティの柱とも呼ばれるこれらのグループは、境界セキュリティ、認証、承認、および暗号化に分けられます。These groups are also called security pillars and are the following types: perimeter security, authentication, authorization, and encryption.

境界セキュリティPerimeter security

HDInsight の境界セキュリティは、仮想ネットワークを使用して実現されます。Perimeter security in HDInsight is achieved through virtual networks. エンタープライズ管理者は、仮想ネットワーク (VNET) 内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。An enterprise admin can create a cluster inside a virtual network (VNET) and use network security groups (NSG) to restrict access to the virtual network. HDInsight クラスターと通信できるのは、NSG の受信規則で許可されている IP アドレスだけです。Only the allowed IP addresses in the inbound NSG rules can communicate with the HDInsight cluster. この構成では、境界セキュリティを提供します。This configuration provides perimeter security.

VNET に配置されているすべてのクラスターにも、プライベート エンドポイントがあります。All clusters deployed in a VNET will also have a private endpoint. このエンドポイントは、クラスター ゲートウェイへのプライベート HTTP アクセスが可能になるように、VNET 内のプライベート IP に解決されます。The endpoint resolves to a private IP inside the VNET for private HTTP access to the cluster gateways.

認証Authentication

HDInsight の Enterprise セキュリティ パッケージ では、Active Directory ベースの認証、マルチユーザー サポート、およびロールベースのアクセス制御が提供されます。Enterprise Security Package from HDInsight provides Active Directory-based authentication, multi-user support, and role-based access control. Active Directory 統合は、Azure Active Directory Domain Services を使用して実現されます。The Active Directory integration is achieved through the use of Azure Active Directory Domain Services. これらの機能を使用して、Active Directory ドメインに参加する HDInsight クラスターを作成できます。With these capabilities, you can create an HDInsight cluster joined to an Active Directory domain. その後、クラスターに対して認証できる企業従業員の一覧を構成します。Then configure a list of employees from the enterprise who can authenticate to the cluster.

この設定により、企業の従業員は、ドメイン資格情報を使用してクラスター ノードにサインインできます。With this setup, enterprise employees can sign in to the cluster nodes by using their domain credentials. また、ドメイン資格情報を使用して、他の承認済みエンドポイント (They can also use their domain credentials to authenticate with other approved endpoints. Apache Ambari Views、ODBC、JDBC、PowerShell、REST API など) で認証して、クラスターと対話することもできます。Like Apache Ambari Views, ODBC, JDBC, PowerShell, and REST APIs to interact with the cluster.

承認Authorization

ほとんどの企業では、すべての従業員がすべてのエンタープライズ リソースにフル アクセスできるわけではないというベスト プラクティスに従っています。A best practice most enterprises follow is making sure that not every employee has full access to all enterprise resources. 同様に、管理者はクラスター リソースのロールベースのアクセス制御ポリシーを定義できます。Likewise, the admin can define role-based access control policies for the cluster resources. この操作は、ESP クラスターでのみ使用できます。This action is only available in the ESP clusters.

Hadoop 管理者は、ロールベースのアクセス制御 (RBAC) を構成できます。The Hadoop admin can configure role-based access control (RBAC). この構成では、Apache Ranger プラグインを使用して、Apache HiveHBase、および Kafka をセキュリティで保護します。The configurations secure Apache Hive, HBase, and Kafka with Apache Ranger plugins. RBAC ポリシーを構成すると、組織内のロールにアクセス許可を関連付けることができます。Configuring RBAC policies allows you to associate permissions with a role in the organization. この抽象化レイヤーを使用すると、より簡単に、ユーザーが作業の責任を果たすために必要なアクセス許可のみを持つようにできます。This layer of abstraction makes it easier to ensure people have only the permissions needed to do their work responsibilities. また、Ranger により、従業員のデータ アクセスとアクセス制御ポリシーに加えられた変更を監査できます。Ranger also allows you to audit the data access of employees and any changes done to access control policies.

たとえば、管理者は Apache Ranger を構成して Hive のアクセス制御ポリシーを設定できます。For example, the admin can configure Apache Ranger to set access control policies for Hive. この機能により、行レベルおよび列レベルのフィルター処理 (データ マスキング) が実現されます。This functionality ensures row-level and column-level filtering (data masking). また、未承認のユーザーがアクセスできないように、機密データがフィルター処理されます。And filters the sensitive data from unauthorized users.

監査Auditing

リソースへの許可されていないアクセスや意図しないアクセスを追跡するには、クラスター リソースへのアクセスを監査する必要があります。Auditing cluster resource access is necessary to track unauthorized or unintentional access of the resources. これは、許可されていないアクセスからクラスター リソースを保護するのと同じくらい重要です。It's as important as protecting the cluster resources from unauthorized access.

管理者は HDInsight クラスター リソースとデータへのすべてのアクセスを表示し、レポートを作成できます。The admin can view and report all access to the HDInsight cluster resources and data. また、管理者はアクセス制御ポリシーへの変更を表示して報告することができます。The admin can view and report changes to the access control policies.

Apache Ranger および Ambari 監査ログと ssh アクセス ログにアクセスするには、Azure Monitor を有効にし、監査レコードが記載されたテーブルを表示します。To access Apache Ranger and Ambari audit logs, and ssh access logs, enable Azure Monitor and view the tables that provide auditing records.

暗号化Encryption

データの保護は、組織のセキュリティとコンプライアンス要件を満たすために重要です。Protecting data is important for meeting organizational security and compliance requirements. 許可されていない従業員からデータへのアクセスを制限すると共に、暗号化する必要があります。Along with restricting access to data from unauthorized employees, you should encrypt it.

Azure Storage および Azure Data Lake Storage Gen1/Gen2 はどちらも、保存データの透過的なサーバー側暗号化をサポートしています。Azure storage and Data Lake Storage Gen1/Gen2, support transparent server-side encryption of data at rest. セキュリティで保護された HDInsight クラスターは、保存データのサーバー側暗号化とシームレスに連携します。Secure HDInsight clusters will seamlessly work with server-side encryption of data at rest.

コンプライアンスCompliance

Azure コンプライアンス認証は、正式な認定資格を含むさまざまな種類の保証に基づいています。Azure compliance offerings are based on various types of assurances, including formal certifications. また、構成証明、検証、承認にも基づいています。Also, attestations, validations, and authorizations. さらに、独立したサードパーティの監査会社による評価や、Assessments produced by independent third-party auditing firms. Microsoft によって作成された契約の修正、自己評価、顧客向けのガイダンス ドキュメントにも基づきます。Contractual amendments, self-assessments, and customer guidance documents produced by Microsoft. HDInsight のコンプライアンス情報については、Microsoft セキュリティセンターMicrosoft Azure コンプライアンスの概要を参照してください。For HDInsight compliance information, see the Microsoft Trust Center and the Overview of Microsoft Azure compliance.

共同責任モデルShared responsibility model

次の図は、主要なシステム セキュリティ領域と、それぞれで使用できるセキュリティ ソリューションをまとめたものです。The following image summarizes the major system security areas and the security solutions that are available to you in each. また、どのセキュリティ領域がお客様の責任となり、It also highlights which security areas are your responsibility as a customer. どの領域がサービス プロバイダーである HDInsight の責任になるかも示しています。And which areas are the responsibility of HDInsight as the service provider.

HDInsight の共有責任図

次の表に、セキュリティ ソリューションの種類ごとにリソースへのリンクを示します。The following table provides links to resources for each type of security solution.

セキュリティ領域Security area 使用可能なソリューションSolutions available 責任者Responsible party
データ アクセス セキュリティData Access Security Azure Data Lake Storage Gen1 および Gen2 対象のアクセス制御リスト ACL を構成するConfigure access control lists ACLs for Azure Data Lake Storage Gen1 and Gen2 CustomerCustomer
ストレージ アカウントで [安全な転送が必須] プロパティを有効にします。Enable the "Secure transfer required" property on storage accounts. CustomerCustomer
Azure Storage ファイアウォールおよび仮想ネットワークを構成するConfigure Azure Storage firewalls and virtual networks CustomerCustomer
Cosmos DB と Azure SQL DB 用に Azure 仮想ネットワーク サービス エンドポイントを構成するConfigure Azure virtual network service endpoints for Cosmos DB and Azure SQL DB CustomerCustomer
転送中のデータに対して TLS 暗号化が有効になっていることを確認する。Ensure TLS encryption is enabled for data in transit. CustomerCustomer
Azure Storage 暗号化用に顧客管理のキーを構成するConfigure customer-managed keys for Azure Storage encryption CustomerCustomer
アプリケーションとミドルウェアのセキュリティApplication and middleware security AAD-DS と統合して認証を構成するIntegrate with AAD-DS and Configure Authentication CustomerCustomer
Apache Ranger 認証ポリシーを構成するConfigure Apache Ranger Authorization policies CustomerCustomer
Azure Monitor ログを使用するUse Azure Monitor logs CustomerCustomer
オペレーティング システムのセキュリティOperating system security 最新の安全な基本イメージを使用してクラスターを作成するCreate clusters with most recent secure base image CustomerCustomer
OS の修正プログラムが定期的に適用されるようにするEnsure OS Patching on regular intervals CustomerCustomer
ネットワークのセキュリティNetwork security 仮想ネットワークを構成するConfigure a virtual network
ネットワーク セキュリティ グループ (NSG) の受信規則を構成するConfigure Inbound network security group (NSG) rules CustomerCustomer
ファイアウォールを使用して送信トラフィックの制限を構成するConfigure Outbound traffic restriction with Firewall CustomerCustomer
仮想化インフラストラクチャVirtualized infrastructure 該当なしN/A HDInsight (クラウド プロバイダー)HDInsight (Cloud provider)
物理インフラのセキュリティPhysical infrastructure security 該当なしN/A HDInsight (クラウド プロバイダー)HDInsight (cloud provider)

次のステップNext steps