Azure HDInsight のエンタープライズ セキュリティの概要Overview of enterprise security in Azure HDInsight

Azure HDInsight には、エンタープライズ セキュリティ ニーズに対応するためのさまざまな方法が用意されています。Azure HDInsight offers a number of methods to address your enterprise security needs. これらのソリューションのほとんどは、既定ではアクティブ化されていません。Most of these solutions are not activated by default. この柔軟性により、ユーザーにとって最も重要なセキュリティ機能を選択することができ、不要な機能に支払いを行う必要がありません。This flexibility allows you to choose the security features that are most important to you, and helps you to avoid paying for features that you don't want. これは、セットアップと環境で適切なソリューションが有効になっていることをユーザーが責任を持って確認する必要があるということでもあります。This also means that it is your responsibility to make sure that the correct solutions are enabled for your setup and environment.

この記事では、セキュリティ ソリューションを、境界セキュリティ、認証、承認、暗号化の 4 つの従来のセキュリティの柱に沿って分け、セキュリティ ソリューションについて説明します。This article looks at security solutions by dividing security solutions along the lines of four traditional security pillars: perimeter security, authentication, authorization, and encryption.

この記事では、Azure HDInsight Enterprise セキュリティ パッケージ (ESP) についても説明します。ESP は、Active Directory ベースの認証、マルチユーザーのサポート、ロールベースのアクセス制御を HDInsight のクラスターに提供します。This article also introduces the Azure HDInsight Enterprise Security Package (ESP), which provides Active Directory-based authentication, multi-user support, and role-based access control for HDInsight clusters.

エンタープライズ セキュリティの柱Enterprise security pillars

エンタープライズ セキュリティを確認する 1 つの方法は、コントロールの種類に基づいて、セキュリティ ソリューションを 4 つの主要なグループに分けることです。One way of looking at enterprise security divides security solutions into four main groups based on the type of control. これらのグループはセキュリティの柱とも呼ばれ、境界セキュリティ、認証、承認、および暗号化があります。These groups are also called security pillars and are the following: perimeter security, authentication, authorization, and encryption.

境界セキュリティPerimeter security

HDInsight の境界セキュリティは、仮想ネットワークを使用して実現されます。Perimeter security in HDInsight is achieved through virtual networks. エンタープライズ管理者は、仮想ネットワーク (VNET) 内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。An enterprise admin can create a cluster inside a virtual network(VNET) and use network security groups(NSG) to restrict access to the virtual network. HDInsight クラスターと通信できるのは、NSG の受信規則で許可されている IP アドレスだけです。Only the allowed IP addresses in the inbound NSG rules will be able to communicate with the HDInsight cluster. この構成では、境界セキュリティを提供します。This configuration provides perimeter security.

VNET にデプロイされるすべてのクラスターには、クラスター ゲートウェイへのプライベート HTTP アクセスのために、VNET 内のプライベート IP に解決されるプライベート エンドポイントもあります。All clusters deployed in a VNET will also have a private endpoint that resolves to a private IP inside the VNET for private HTTP access to the cluster gateways.

認証Authentication

HDInsight の Enterprise セキュリティ パッケージ は、Active Directory ベースの認証、マルチ ユーザー サポート、およびロールベースのアクセス制御を提供します。The Enterprise Security Package from HDInsight provides Active Directory-based authentication, multi-user support, and role-based access control. Active Directory 統合は、Azure Active Directory Domain Services を使用して実現されます。The Active Directory integration is achieved through the use of Azure Active Directory Domain Services. これらの機能を使用して、マネージド Active Directory ドメインに参加している HDInsight クラスターを作成できます。With these capabilities, you can create an HDInsight cluster that's joined to a managed Active Directory domain. その後、認証してクラスターにサインインできる企業の従業員の一覧を構成できるようになります。You can then configure a list of employees from the enterprise who can authenticate and sign in to the cluster.

この設定により、企業の従業員は、ドメイン資格情報を使用してクラスター ノードにサインインできます。With this setup, enterprise employees can sign in to the cluster nodes by using their domain credentials. また、ドメイン資格情報を使用して、クラスターと対話する他の承認済みエンドポイント (Apache Ambari Views、ODBC、JDBC、PowerShell、REST API など) で認証することもできます。They can also use their domain credentials to authenticate with other approved endpoints like Apache Ambari Views, ODBC, JDBC, PowerShell, and REST APIs to interact with the cluster.

AuthorizationAuthorization

ほとんどの企業では、すべての従業員がすべてのエンタープライズ リソースにはアクセスできないようにするベスト プラクティスに従っています。A best practice that most enterprises follow is making sure that not every employee has access to all enterprise resources. 同様に、管理者はクラスター リソースのロールベースのアクセス制御ポリシーを定義できます。Likewise, the admin can define role-based access control policies for the cluster resources. これは、ESP クラスターでのみ使用できます。This is only available in the ESP clusters.

Hadoop 管理者は、Apache Ranger のプラグインを使用して、ロールベースのアクセス制御 (RBAC) を構成して Apache HiveHBase および Kafka を保護できます。The hadoop admin can configure role-based access control (RBAC) to secure Apache Hive, HBase and Kafka using those plugins in Apache Ranger. RBAC ポリシーを構成すると、組織内のロールにアクセス許可を関連付けることができます。Configuring RBAC policies allows you to associate permissions with a role in the organization. この抽象化レイヤーを使用すると、より簡単に、ユーザーが作業の責任を果たすために必要なアクセス許可のみを持つようにできます。This layer of abstraction makes it easier to ensure that people have only the permissions needed to perform their work responsibilities. また、Ranger により、従業員のデータ アクセスとアクセス制御ポリシーに加えられた変更を監査できます。Ranger also allows you to audit the data access of employees and any changes done to access control policies.

たとえば、管理者は Apache Ranger を構成して Hive のアクセス制御ポリシーを設定できます。For example, the admin can configure Apache Ranger to set access control policies for Hive. この機能により、行レベルおよび列レベルのフィルター処理 (データ マスキング) が実現され、権限のないユーザーから機密データがフィルター処理されます。This functionality ensures row-level and column-level filtering (data masking) and filters the sensitive data from unauthorized users.

監査Auditing

リソースにおいて許可されていないアクセスや意図しないアクセスを追跡するには、クラスター リソース、およびデータへのアクセスをすべて監査する必要があります。Auditing of all access to the cluster resources, and the data, is necessary to track unauthorized or unintentional access of the resources. HDInsight クラスター リソースを許可されていないユーザーから保護し、データをセキュリティで保護することが重要です。It's as important as protecting the HDInsight cluster resources from unauthorized users and securing the data.

管理者は HDInsight クラスター リソースとデータへのすべてのアクセスを表示し、レポートを作成できます。The admin can view and report all access to the HDInsight cluster resources and data. また、管理者は Apache Ranger のサポートされているエンドポイントで作成されたアクセス制御ポリシーのすべての変更を表示し、レポートを作成することもできます。The admin can also view and report all changes to the access control policies created in Apache Ranger supported endpoints.

Apache Ranger および Ambari 監査ログと ssh アクセス ログにアクセスするには、Azure Monitor を有効にし、監査レコードを提供するテーブルを表示します。To access Apache Ranger and Ambari audit logs as well as ssh access logs, enable Azure Monitor and view the tables that provide auditing records.

暗号化Encryption

データの保護は、組織のセキュリティとコンプライアンス要件を満たすために重要です。Protecting data is important for meeting organizational security and compliance requirements. 許可されていない従業員からデータへのアクセスを制限すると共に、暗号化する必要があります。Along with restricting access to data from unauthorized employees, you should encrypt it.

HDInsight クラスターのデータ ストア (Azure BLOB ストレージおよび Azure Data Lake Storage Gen1/Gen2) はどちらも、保存データの透過的なサーバー側暗号化をサポートしています。Both data stores for HDInsight clusters, Azure Blob storage and Azure Data Lake Storage Gen1/Gen2, support transparent server-side encryption of data at rest. セキュリティで保護された HDInsight クラスターは、この保存データのサーバー側暗号化の機能とシームレスに連携します。Secure HDInsight clusters will seamlessly work with this capability of server-side encryption of data at rest.

コンプライアンスCompliance

Azure のコンプライアンス認証は、独立したサードパーティの監査企業による正式な認証、証明、検証、承認、および評価の他に、Microsoft による契約の修正、自己評価、顧客向けのガイダンス ドキュメントを含むさまざまな種類の保証に基づいています。Azure compliance offerings are based on various types of assurances, including formal certifications, attestations, validations, authorizations, and assessments produced by independent third-party auditing firms, as well as contractual amendments, self-assessments, and customer guidance documents produced by Microsoft. HDInsight のコンプライアンス情報については、Microsoft セキュリティセンターMicrosoft Azure コンプライアンスの概要を参照してください。For HDInsight compliance information, see the Microsoft Trust Center and the Overview of Microsoft Azure compliance.

共同責任モデルShared responsibility model

次の図は、主要なシステム セキュリティ領域と、それぞれで使用できるセキュリティ ソリューションをまとめたものです。The following image summarizes the major system security areas and the security solutions that are available to you in each. また、顧客としての責任があるセキュリティ領域と、サービス プロバイダーとしての HDInsight の責任がある領域についても取り上げます。It also highlights which security areas are your responsibility as a customer and which areas are the responsibility of HDInsight as the service provider.

HDInsight の共有責任図

次の表に、セキュリティ ソリューションの種類ごとにリソースへのリンクを示します。The following table provides links to resources for each type of security solution.

セキュリティ領域Security area 使用可能なソリューションSolutions available 責任者Responsible party
データ アクセス セキュリティData Access Security Azure Data Lake Storage Gen1 および Gen2 対象のアクセス制御リスト ACL を構成するConfigure access control lists ACLs for Azure Data Lake Storage Gen1 and Gen2 顧客Customer
ストレージ アカウントで [安全な転送が必須] プロパティを有効にします。Enable the "Secure transfer required" property on storage accounts. 顧客Customer
Azure Storage ファイアウォールおよび仮想ネットワークを構成するConfigure Azure Storage firewalls and virtual networks 顧客Customer
Cosmos DB と Azure SQL DB 用に Azure 仮想ネットワーク サービス エンドポイントを構成するConfigure Azure virtual network service endpoints for Cosmos DB and Azure SQL DB 顧客Customer
転送中のデータに対して TLS 暗号化が有効になっていることを確認する。Ensure TLS encryption is enabled for data in transit. 顧客Customer
Azure Storage 暗号化用に顧客管理のキーを構成するConfigure customer-managed keys for Azure Storage encryption 顧客Customer
アプリケーションとミドルウェアのセキュリティApplication and middleware security AAD-DS と統合して認証を構成するIntegrate with AAD-DS and Configure Authentication 顧客Customer
Apache Ranger 認証ポリシーを構成するConfigure Apache Ranger Authorization policies 顧客Customer
Azure Monitor ログを使用するUse Azure Monitor logs 顧客Customer
オペレーティング システムのセキュリティOperating system security 最新の安全な基本イメージを使用してクラスターを作成するCreate clusters with most recent secure base image 顧客Customer
OS の修正プログラムが定期的に適用されるようにするEnsure OS Patching on regular intervals 顧客Customer
ネットワークのセキュリティNetwork security 仮想ネットワークを構成するConfigure a virtual network
ネットワーク セキュリティ グループ (NSG) の受信規則を構成するConfigure Inbound network security group (NSG) rules 顧客Customer
ファイアウォールを使用して送信トラフィックの制限を構成する (プレビュー)Configure Outbound traffic restriction with Firewall (preview) 顧客Customer
仮想化インフラストラクチャVirtualized infrastructure 該当なしN/A HDInsight (クラウド プロバイダー)HDInsight (Cloud provider)
物理インフラのセキュリティPhysical infrastructure security 該当なしN/A HDInsight (クラウド プロバイダー)HDInsight (cloud provider)

次の手順Next steps