HDInsight 用の Azure セキュリティ ベースラインAzure Security Baseline for HDInsight

HDInsight 用の Azure セキュリティ ベースラインには、デプロイのセキュリティ体制を改善するために役立つ推奨事項が含まれています。The Azure Security Baseline for HDInsight contains recommendations that will help you improve the security posture of your deployment.

このサービス用のベースラインは、ベスト プラクティス ガイダンスを使用して Azure 上のクラウド ソリューションをセキュリティで保護する方法について推奨事項を提供する Azure セキュリティ ベンチマーク バージョン 1.0 に基づいて作成されています。The baseline for this service is drawn from the Azure Security Benchmark version 1.0, which provides recommendations on how you can secure your cloud solutions on Azure with our best practices guidance.

詳細については、Azure セキュリティ ベースラインの概要に関するページを参照してください。For more information, see Azure Security Baselines overview.

ネットワークのセキュリティNetwork Security

詳細については、「セキュリティ コントロール: ネットワークのセキュリティ」を参照してください。For more information, see Security Control: Network Security.

1.1:Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する1.1: Protect resources using Network Security Groups or Azure Firewall on your Virtual Network

ガイダンス:Azure HDInsight での境界セキュリティは、仮想ネットワークを使用して実現されます。Guidance: Perimeter security in Azure HDInsight is achieved through virtual networks. エンタープライズ管理者は、仮想ネットワーク内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。An enterprise administrator can create a cluster inside a virtual network and use a network security group (NSG) to restrict access to the virtual network. Azure HDInsight クラスターと通信できるのは、ネットワーク セキュリティ グループの受信規則で許可されている IP アドレスだけです。Only the allowed IP addresses in the inbound Network Security Group rules will be able to communicate with the Azure HDInsight cluster. この構成では、境界セキュリティを提供します。This configuration provides perimeter security. 仮想ネットワークにデプロイされるすべてのクラスターには、クラスター ゲートウェイへのプライベート HTTP アクセスのために、その仮想ネットワーク内のプライベート IP アドレスに解決されるプライベート エンドポイントも用意されています。All clusters deployed in a virtual network will also have a private endpoint that resolves to a private IP address inside the Virtual Network for private HTTP access to the cluster gateways.

窃盗によるデータ損失のリスクを軽減するには、Azure Firewall を使用して Azure HDInsight クラスターに対する送信ネットワーク トラフィックを制限します。To reduce the risk of data loss via exfiltration, restrict outbound network traffic for Azure HDInsight clusters using Azure Firewall.

仮想ネットワーク内に Azure HDInsight をデプロイし、ネットワーク セキュリティ グループを使用してセキュリティ保護する方法: https://docs.microsoft.com/azure/hdinsight/hdinsight-create-virtual-networkHow to Deploy Azure HDInsight within a Virtual Network and Secure with a Network Security Group: https://docs.microsoft.com/azure/hdinsight/hdinsight-create-virtual-network

Azure Firewall を使用して Azure HDInsight クラスターに対する送信トラフィックを制限する方法: https://docs.microsoft.com/azure/hdinsight/hdinsight-restrict-outbound-trafficHow to restrict outbound traffic for Azure HDInsight Clusters with Azure Firewall: https://docs.microsoft.com/azure/hdinsight/hdinsight-restrict-outbound-traffic

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.2:VNet、サブネット、NIC の構成とトラフィックを監視してログに記録する1.2: Monitor and log the configuration and traffic of Vnets, Subnets, and NICs

ガイダンス:Azure Security Center を使用して、Azure HDInsight クラスターをセキュリティで保護するために使用される仮想ネットワーク、サブネット、およびネットワーク セキュリティ グループのネットワーク保護に関する推奨事項を修正します。Guidance: Use Azure Security Center and remediate network protection recommendations for the virtual network, subnet, and network security group being used to secure your Azure HDInsight cluster. ネットワーク セキュリティ グループ (NSG) フロー ログを有効にし、トラフィック監査のためにログを Azure Storage アカウントに送信します。Enable network security group (NSG) flow logs and send logs into a Azure Storage Account to traffic audit. また、NSG フロー ログを Azure Log Analytics ワークスペースに送信し、Azure Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。You may also send NSG flow logs to a Azure Log Analytics Workspace and use Azure Traffic Analytics to provide insights into traffic flow in your Azure cloud. Azure Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。Some advantages of Azure Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network mis-configurations.

NSG フロー ログを有効にする方法:How to Enable NSG Flow Logs:

https://docs.microsoft.com/azure/network-watcher/network-watcher-nsg-flow-logging-portal

Azure Traffic Analytics を有効にして使用する方法:How to Enable and use Azure Traffic Analytics:

https://docs.microsoft.com/azure/network-watcher/traffic-analytics

Azure Security Center によって提供されるネットワークのセキュリティの概要:Understand Network Security provided by Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-network-recommendations

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.3:重要な Web アプリケーションを保護する1.3: Protect critical web applications

ガイダンス: 適用なし。ベンチマークでは、Web アプリケーションをホストしている Azure アプリ サービスまたはコンピューティング リソースを対象にしています。Guidance: Not applicable; benchmark is intended for Azure Apps Service or compute resources hosting web applications.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.4:既知の悪意のある IP アドレスとの通信を拒否する1.4: Deny communications with known malicious IP addresses

ガイダンス:DDoS 攻撃からの保護のために、Azure HDInsight がデプロイされている仮想ネットワーク上で Azure DDoS Standard Protection を有効にします。Guidance: For protections from DDoS attacks, enable Azure DDoS Standard protection on the virtual network where your Azure HDInsight is deployed. Azure Security Center の統合された脅威インテリジェンスを使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信を拒否します。Use Azure Security Center integrated threat intelligence to deny communications with known malicious or unused Internet IP addresses.

DDoS 保護を構成する方法:How to configure DDoS protection:

https://docs.microsoft.com/azure/virtual-network/manage-ddos-protection

Azure Security Center の統合された脅威インテリジェンスの概要:Understand Azure Security Center Integrated Threat Intelligence:

https://docs.microsoft.com/azure/security-center/security-center-alerts-service-layer

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.5:ネットワーク パケットとフロー ログを記録する1.5: Record network packets and flow logs

ガイダンス:Azure HDInsight クラスターを保護するために使用されているサブネットに接続された NSG 用に、ネットワーク セキュリティ グループ (NSG) フロー ログを有効にします。Guidance: Enable network security group (NSG) flog logs for the NSG attached to the subnet being used to protect your Azure HDInsight cluster. フロー レコードを生成するために、NSG フロー ログを Azure Storage アカウントに記録します。Record the NSG flow logs into a Azure Storage Account to generate flow records. 異常なアクティビティを調査する必要がある場合は、Azure Network Watcher パケット キャプチャを有効にします。If required for investigating anomalous activity, enable Azure Network Watcher packet capture.

NSG フロー ログを有効にする方法:How to Enable NSG Flow Logs:

https://docs.microsoft.com/azure/network-watcher/network-watcher-nsg-flow-logging-portal

Network Watcher を有効にする方法:How to enable Network Watcher:

https://docs.microsoft.com/azure/network-watcher/network-watcher-create

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.6:ネットワーク ベースの侵入検出/侵入防止システム (IDS/IPS) をデプロイする1.6: Deploy network based intrusion detection/intrusion prevention systems (IDS/IPS)

ガイダンス:要件は、Azure セキュリティ コントロール ID 1.1 に適合できます。Azure HDInsight クラスターを仮想ネットワークにデプロイし、ネットワーク セキュリティ グループ (NSG) によるセキュリティ保護を行います。Guidance: Requirement can be met Azure security control ID 1.1; Deploy Azure HDInsight cluster into a virtual network and secure with a network security group (NSG).

受信トラフィックを必要とする Azure HDInsight の依存関係は複数あります。There are several dependencies for Azure HDInsight that require inbound traffic. インバウンド管理トラフィックはファイアウォール デバイスを介して送信できません。The inbound management traffic can't be sent through a firewall device. 必要な管理トラフィックのソース アドレスは既知であり、公開されています。The source addresses for required management traffic are known and published. この情報を使用してネットワーク セキュリティ グループの規則を作成し、クラスターへの受信トラフィックをセキュリティ保護したうえで、信頼済みの場所のみからトラフィックを許可します。Create Network Security Group rules with this information to allow traffic from only trusted locations, securing inbound traffic to the clusters.

窃盗によるデータ損失のリスクを軽減するには、Azure Firewall を使用して Azure HDInsight クラスターに対する送信ネットワーク トラフィックを制限します。To reduce the risk of data loss via exfiltration, restrict outbound network traffic for Azure HDInsight clusters using Azure Firewall.

仮想ネットワーク内で HDInsight をデプロイし、ネットワーク セキュリティ グループを使用してセキュリティ保護する方法: https://docs.microsoft.com/azure/hdinsight/hdinsight-create-virtual-networkHow to Deploy HDInsight within a Virtual Network and Secure with a Network Security Group: https://docs.microsoft.com/azure/hdinsight/hdinsight-create-virtual-network

HDInsight の依存関係とファイアウォールの使用状況の概要: https://docs.microsoft.com/azure/hdinsight/hdinsight-restrict-outbound-trafficUnderstand HDInsight dependencies and firewall usage: https://docs.microsoft.com/azure/hdinsight/hdinsight-restrict-outbound-traffic

HDInsight の管理 IP アドレス: https://docs.microsoft.com/azure/hdinsight/hdinsight-management-ip-addressesHDInsight management IP addresses: https://docs.microsoft.com/azure/hdinsight/hdinsight-management-ip-addresses

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.7:Web アプリケーションへのトラフィックを管理する1.7: Manage traffic to web applications

ガイダンス: 適用なし。ベンチマークでは、Web アプリケーションをホストしている Azure アプリ サービスまたはコンピューティング リソースを対象にしています。Guidance: Not applicable; benchmark is intended for Azure Apps Service or compute resources hosting web applications.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える1.8: Minimize complexity and administrative overhead of network security rules

ガイダンス:仮想ネットワーク サービス タグを使用して、Azure HDInsight クラスターがデプロイされているサブネットに接続されたネットワーク セキュリティ グループ (NSG) に対して、ネットワーク アクセス制御を定義します。Guidance: Use Virtual network service tags to define network access controls on network security groups (NSG) that are attached to the subnet your Azure HDInsight cluster is deployed in. セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。You can use service tags in place of specific IP addresses when creating security rules. 規則の適切なソースまたは宛先フィールドにサービス タグ名 (ApiManagement など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。By specifying the service tag name (e.g., ApiManagement) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Azure HDInsight でのサービス タグの概要と使用方法:Understand and using Service Tags for Azure HDInsight:

https://docs.microsoft.com/azure/virtual-network/security-overview#service-tags

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する1.9: Maintain standard security configurations for network devices

ガイダンス:Azure HDInsight クラスターに関連するネットワーク リソースの標準的なセキュリティ構成を定義して、実装します。Guidance: Define and implement standard security configurations for network resources related to your Azure HDInsight cluster. Azure HDInsight クラスターのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.HDInsight" と "Microsoft.Network" 名前空間内で Azure Policy エイリアスを使用します。Use Azure Policy aliases in the "Microsoft.HDInsight" and "Microsoft.Network" namespaces to create custom policies to audit or enforce the network configuration of your Azure HDInsight cluster.

Azure Blueprints を使用して、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなどの主要な環境成果物を単一のブループリント定義にパッケージ化することで、大規模な Azure デプロイを簡略化することもできます。You may also use Azure Blueprints to simplify large scale Azure deployments by packaging key environment artifacts, such as Azure Resource Manager templates, Azure RBAC controls, and policies, in a single blueprint definition. ブループリントを新しいサブスクリプションと環境に簡単に適用し、バージョン管理によって制御と管理を微調整します。Easily apply the blueprint to new subscriptions and environments, and fine-tune control and management through versioning.

使用可能な Azure Policy エイリアスを表示する方法:How to view available Azure Policy aliases:

https://docs.microsoft.com/powershell/module/az.resources/get-azpolicyalias Azure Policy を構成して管理する方法:https://docs.microsoft.com/powershell/module/az.resources/get-azpolicyalias How to configure and manage Azure Policy:

https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Blueprint の作成方法:How to create an Azure Blueprint:

https://docs.microsoft.com/azure/governance/blueprints/create-blueprint-portal

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.10:トラフィック構成規則を文書化する1.10: Document traffic configuration rules

ガイダンス:Azure HDInsight クラスターに関連付けられているネットワーク セキュリティおよびトラフィック フローに関連したネットワーク セキュリティ グループ (NSG) やその他のリソースにタグを使用します。Guidance: Use Tags for network security group (NSGs) and other resources related to network security and traffic flow that are associated with your Azure HDInsight cluster. 個々の NSG 規則については、[説明] フィールドを使用して、ネットワークとの間のトラフィックを許可する規則のビジネス ニーズや期間 (など) を指定します。For individual NSG rules, use the "Description" field to specify business need and/or duration (etc.) for any rules that allow traffic to/from a network.

すべてのリソースが確実にタグ付きで作成され、既存のタグ付けされていないリソースがユーザーに通知されるようにするには、タグ付けに関連したいずれかの組み込みの Azure Policy 定義 ("タグとその値が必要" など) を使用します。Use any of the built-in Azure Policy definitions related to tagging, such as "Require tag and its value" to ensure that all resources are created with Tags and to notify you of existing untagged resources.

Azure PowerShell または Azure コマンド ライン インターフェイス (CLI) を使用して、タグに基づいてリソースを検索したり、リソースに対するアクションを実行したりすることもできます。You may use Azure PowerShell or Azure command-line interface (CLI) to look-up or perform actions on resources based on their Tags.

タグを作成して使用する方法:How to create and use Tags:

https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

仮想ネットワークを作成する方法:How to create a virtual network:

https://docs.microsoft.com/azure/virtual-network/quick-create-portal

セキュリティ構成を使用して NSG を作成する方法:How to create an NSG with a Security Config:

https://docs.microsoft.com/azure/virtual-network/tutorial-filter-network-traffic

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する1.11: Use automated tools to monitor network resource configurations and detect changes

ガイダンス:Azure アクティビティ ログを使用して、ネットワーク リソース構成を監視し、Azure HDInsight デプロイに関連するネットワーク リソースの変更を検出します。Guidance: Use Azure Activity Log to monitor network resource configurations and detect changes for network resources related to your Azure HDInsight deployments. 重要なネットワーク リソースへの変更が行われたときにトリガーされるアラートを Azure Monitor 内で作成します。Create alerts within Azure Monitor that will trigger when changes to critical network resources take place.

Azure アクティビティ ログ イベントを表示して取得する方法:How to view and retrieve Azure Activity Log events:

https://docs.microsoft.com/azure/azure-monitor/platform/activity-log-view

Azure Monitor でアラートを作成する方法: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-logHow to create alerts in Azure Monitor: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-log

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

ログ記録と監視Logging and Monitoring

詳細については、「セキュリティ コントロール: ログ記録と監視」を参照してください。For more information, see Security Control: Logging and Monitoring.

2.1:承認された時刻同期ソースを使用する2.1: Use approved time synchronization sources

ガイダンス:Azure HDInsight クラスター コンポーネントのタイム ソースは Microsoft によって管理されており、コンピューティング デプロイの時刻同期を更新することができます。Guidance: Microsoft maintains time sources for Azure HDInsight cluster components, you may update time synchronization for your compute deployments.

Azure コンピューティング リソースの時刻同期を構成する方法:How to configure time synchronization for Azure compute resources:

https://docs.microsoft.com/azure/virtual-machines/windows/time-sync

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: MicrosoftResponsibility: Microsoft

2.2:セキュリティ ログの一元管理を構成する2.2: Configure central security log management

ガイダンス:クラスターによって生成されたセキュリティ データを集計するために、Azure Monitor に Azure HDInsight クラスターをオンボードできます。Guidance: You can onboard your Azure HDInsight cluster to Azure Monitor to aggregate security data generated by the cluster. カスタム クエリを利用して、環境内の脅威を検出し、それに対応します。Leverage custom queries to detect and respond to threats in the environment.

Azure Monitor に Azure HDInsight クラスターをオンボードする方法:How to onboard an Azure HDInsight cluster to Azure Monitor:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-tutorial

Azure HDInsight クラスターのカスタム クエリを作成する方法:How to create custom queries for an Azure HDInsight cluster:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-use-queries

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.3:Azure リソースの監査ログ記録を有効にする2.3: Enable audit logging for Azure resources

ガイダンス:HDInsight クラスター用に Azure Monitor を有効にして、Log Analytics ワークスペースにダイレクトします。Guidance: Enable Azure Monitor for the HDInsight cluster, direct it to a Log Analytics workspace. これにより、すべての Azure HDInsight クラスター ノードの関連するクラスター情報と OS メトリックがログに記録されます。This will log relevant cluster information and OS metrics for all Azure HDInsight cluster nodes.

HDInsight クラスターでのログ記録を有効にする方法:How to enable logging for HDInsight Cluster:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-tutorial

HDInsight ログを照会する方法:How to query HDInsight logs:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-use-queries

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.4:オペレーティング システムからセキュリティ ログを収集する2.4: Collect security logs from operating systems

ガイダンス:Azure Monitor に Azure HDInsight クラスターをオンボードします。Guidance: Onboard Azure HDInsight cluster to Azure Monitor. 使用される Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。Ensure that the Log Analytics workspace used has the log retention period set according to your organization's compliance regulations.

Azure Monitor に Azure HDInsight クラスターをオンボードする方法:How to onboard an Azure HDInsight Cluster to Azure Monitor:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-tutorial

Log Analytics ワークスペースの保有期間を構成する方法:How to configure Log Analytics Workspace Retention Period:

https://docs.microsoft.com/azure/azure-monitor/platform/manage-cost-storage

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.5:セキュリティ ログのストレージ保持を構成する2.5: Configure security log storage retention

ガイダンス:Azure Monitor に Azure HDInsight クラスターをオンボードします。Guidance: Onboard Azure HDInsight cluster to Azure Monitor. 使用される Azure Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。Ensure that the Azure Log Analytics workspace used has the log retention period set according to your organization's compliance regulations.

Azure Monitor に Azure HDInsight クラスターをオンボードする方法:How to onboard an Azure HDInsight Cluster to Azure Monitor:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-tutorial

Log Analytics ワークスペースの保有期間を構成する方法:How to configure Log Analytics Workspace Retention Period:

https://docs.microsoft.com/azure/azure-monitor/platform/manage-cost-storage

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.6:ログを監視して確認する2.6: Monitor and review Logs

ガイダンス:Azure Log Analytics ワークスペース クエリを使用して Azure HDInsight ログを照会します。Guidance: Use Azure Log Analytics workspace queries to query Azure HDInsight logs:

Azure HDInsight クラスター用のカスタム クエリを作成する方法:How to Create Custom Queries for Azure HDInsight Clusters:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-oms-log-analytics-use-queries

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.7:異常なアクティビティについてのアラートを有効にする2.7: Enable alerts for anomalous activity

ガイダンス:Azure Log Analytics ワークスペースを使用して、Azure HDInsight クラスターに関連するセキュリティ ログやイベントでの異常なアクティビティを監視し、アラート通知を行います。Guidance: Use Azure Log Analytics workspace for monitoring and alerting on anomalous activities in security logs and events related to your Azure HDInsight cluster.

Azure Security Center でアラートを管理する方法:How to manage alerts in Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-managing-and-responding-alerts

Log Analytics のログ データに関するアラートを送信する方法:How to alert on log analytics log data:

https://docs.microsoft.com/azure/azure-monitor/learn/tutorial-response

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.8:マルウェア対策のログ記録を一元管理する2.8: Centralize anti-malware logging

ガイダンス:Azure HDInsight には Clamscan がプレインストールされ、クラスター ノード イメージに対して有効になっています。ただし、ソフトウェアを管理し、Clamscan によって生成されたログを手動で集計/監視する必要があります。Guidance: Azure HDInsight comes with Clamscan pre-installed and enabled for the cluster node images, however you must manage the software and manually aggregate/monitor any logs Clamscan produces.

Clamscan の概要:Understand Clamscan:

https://docs.microsoft.com/azure/hdinsight/hdinsight-faq#security-and-certificates

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.9:DNS クエリのログ記録を有効にする2.9: Enable DNS query logging

ガイダンス:DNS ログ記録用のサードパーティ ソリューションを実装します。Guidance: Implement third party solution for dns logging.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.10:コマンドライン監査ログ記録を有効にする2.10: Enable command-line audit logging

ガイダンス:ノード単位でのコンソールのログ記録を手動で構成します。Guidance: Manually configure console logging on a per-node basis.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

ID およびアクセス制御Identity and Access Control

詳細については、「セキュリティ コントロール: ID およびアクセス制御」を参照してください。For more information, see Security Control: Identity and Access Control.

3.1: 管理アカウントのインベントリを維持する3.1: Maintain an inventory of administrative accounts

ガイダンス:Azure HDInsight クラスターのクラスター プロビジョニング中に作成されたローカル管理者アカウントや、作成したその他のすべてのアカウントのレコードを管理します。Guidance: Maintain record of the local administrative account that is created during cluster provisioning of Azure HDInsight cluster as well as any other accounts you create. さらに、Azure AD の統合が使用されている場合、Azure AD には、明示的に割り当てる必要があるためにクエリ可能な組み込みのロールが用意されています。In addition, if Azure AD integration is used, Azure AD has built-in roles that must be explicitly assigned and are therefore queryable. Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。Use the Azure AD PowerShell module to perform adhoc queries to discover accounts that are members of administrative groups.

さらに、Azure Security Center ID とアクセス管理の推奨事項を使用できます。In addition, you may use Azure Security Center Identity and Access Management recommendations.

PowerShell を使用して Azure AD でディレクトリ ロールを取得する方法:How to get a directory role in Azure AD with PowerShell:

https://docs.microsoft.com/powershell/module/azuread/get-azureaddirectoryrole

PowerShell を使用して Azure AD でディレクトリ ロールのメンバーを取得する方法:How to get members of a directory role in Azure AD with PowerShell:

https://docs.microsoft.com/powershell/module/azuread/get-azureaddirectoryrolemember

Azure Security Center を使用して ID とアクセスを監視する方法:How to monitor identity and access with Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-identity-access

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.2: 既定のパスワードを変更する (該当する場合)3.2: Change default passwords where applicable

ガイダンス:クラスターをプロビジョニングする場合、Azure では、Web ポータルと Secure Shell (SSH) アクセス用の新しいパスワードを作成する必要があります。Guidance: When provisioning a cluster, Azure requires you to create new passwords for the web portal and Secure Shell (SSH) access. 変更する既定のパスワードはありませんが、SSH と Web ポータル アクセスに対して異なるパスワードを指定できます。There are no default passwords to change, however you can specify different passwords for SSH and web portal access.

Azure HDInsight クラスターをプロビジョニングする場合にパスワードを設定する方法:How to set passwords when provisioning an Azure HDInsight cluster:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-linux-use-ssh-unix

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.3: 専用管理者アカウントを使用する3.3: Use dedicated administrative accounts

ガイダンス:Azure HDInsight クラスターの認証を Azure Active Directory と統合します。Guidance: Integrate Authentication for Azure HDInsight cluster with Azure Active Directory. 専用の管理者アカウントの使用に関するポリシーと手順を作成します。Create policies and procedures around the use of dedicated administrative accounts.

さらに、Azure Security Center ID とアクセス管理の推奨事項を使用できます。In addition, you may use Azure Security Center Identity and Access Management recommendations.

Azure HDInsight の認証を Azure Active Directory と統合する方法:How to integrate Azure HDInsight authentication with Azure Active Directory:

https://docs.microsoft.com/azure/hdinsight/domain-joined/apache-domain-joined-configure-using-azure-adds

Azure Security Center を使用して ID とアクセスを監視する方法:How to monitor identity and access with Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-identity-access

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.4: シングル サインオン (SSO) と Azure Active Directory を統合する3.4: Use single sign-on (SSO) with Azure Active Directory

ガイダンス:Azure HDInsight ID ブローカーを使用して、パスワードを指定せずに Multi-Factor Authentication を使って Enterprise セキュリティ パッケージ (ESP) クラスターにサインインします。Guidance: Use Azure HDInsight ID Broker to sign in to Enterprise Security Package (ESP) clusters by using Multi-Factor Authentication, without providing any passwords. Azure portal などの他の Azure サービスに既にサインインしている場合は、シングル サインオン (SSO) エクスペリエンスによって Azure HDInsight クラスターにサインインできます。If you've already signed in to other Azure services, such as the Azure portal, you can sign in to your Azure HDInsight cluster with a single sign-on (SSO) experience.

Azure HDInsight ID ブローカーを有効にする方法:How to enable Azure HDInsight ID Broker:

https://docs.microsoft.com/azure/hdinsight/domain-joined/identity-broker#enable-hdinsight-id-broker

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する3.5: Use multi-factor authentication for all Azure Active Directory based access

ガイダンス:Azure AD MFA を有効にして、Azure Security Center ID とアクセス管理の推奨事項に従います。Guidance: Enable Azure AD MFA and follow Azure Security Center Identity and Access Management recommendations. Enterprise セキュリティ パッケージが構成された Azure HDInsight クラスターはドメインに接続できるので、ドメイン ユーザーは自分のドメイン資格情報を使用してクラスターの認証を受け、ビッグ データ ジョブを実行することができます。Azure HDInsight clusters with the Enterprise Security Package configured can be connected to a domain so that domain users can use their domain credentials to authenticate with the clusters and run big data jobs. Multi-Factor Authentication (MFA) が有効になった状態で認証を行うと、ユーザーは 2 つ目の認証要素を提供するように求められます。When authenticating with multi-factor authentication (MFA) enabled, users will be challenged to provide a second authentication factor.

Azure で MFA を有効にする方法:How to enable MFA in Azure:

https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-getstarted

Azure Security Center で ID とアクセスを監視する方法:How to monitor identity and access within Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-identity-access

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.6: すべての管理タスクに専用マシン (特権アクセス ワークステーション) を使用する3.6: Use dedicated machines (Privileged Access Workstations) for all administrative tasks

ガイダンス:多要素認証 (MFA) が構成された PAW (特権アクセス ワークステーション) を使用してログインし、Azure HDInsight クラスターと関連リソースを構成します。Guidance: Use PAWs (privileged access workstations) with multi-factor authentication (MFA) configured to log into and configure your Azure HDInsight clusters and related resources.

特権アクセス ワークステーションについて:Learn about Privileged Access Workstations:

https://4sysops.com/archives/understand-the-microsoft-privileged-access-workstation-paw-security-model/

Azure で MFA を有効にする方法:How to enable MFA in Azure:

https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-getstarted

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.7: 管理者アカウントからの疑わしいアクティビティを記録してアラートを生成する3.7: Log and alert on suspicious activity from administrative accounts

ガイダンス:Enterprise セキュリティ パッケージが構成された Azure HDInsight クラスターはドメインに接続できるので、ドメイン ユーザーは自分のドメイン資格情報を使用して認証を受けることができます。Guidance: Azure HDInsight clusters with the Enterprise Security Package configured can be connected to a domain so that domain users can use their domain credentials to authenticate. AAD 環境内で疑わしいアクティビティまたは安全でないアクティビティが発生した場合に、Azure Active Directory (AAD) セキュリティ レポートを使用してログおよびアラートを生成することができます。You may use Azure Active Directory (AAD) security reports for generation of logs and alerts when suspicious or unsafe activity occurs in the AAD environment. Azure Security Center を使用して ID およびアクセス アクティビティを監視します。Use Azure Security Center to monitor identity and access activity.

危険なアクティビティのフラグが設定された AAD ユーザーを特定する方法:How to identify AAD users flagged for risky activity:

https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-user-at-risk

Azure Security Center でユーザーの ID およびアクセス アクティビティを監視する方法:How to monitor users identity and access activity in Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-identity-access

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.8:承認された場所からのみ Azure リソースを管理する3.8: Manage Azure resources from only approved locations

ガイダンス:Enterprise セキュリティ パッケージが構成された Azure HDInsight クラスターはドメインに接続できるので、ドメイン ユーザーは自分のドメイン資格情報を使用して認証を受けることができます。Guidance: Azure HDInsight clusters with the Enterprise Security Package configured can be connected to a domain so that domain users can use their domain credentials to authenticate. 条件付きアクセスのネームド ロケーションを使用して、IP アドレス範囲または国/地域の特定の論理グループからのアクセスのみを許可します。Use Conditional Access Named Locations to allow access from only specific logical groupings of IP address ranges or countries/regions.

Azure でネームド ロケーションを構成する方法:How to configure Named Locations in Azure:

https://docs.microsoft.com/azure/active-directory/reports-monitoring/quickstart-configure-named-locations

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.9: Azure Active Directory を使用する3.9: Use Azure Active Directory

ガイダンス:Azure Active Directory (AAD) を中央認証と承認システムとして使用します。Guidance: Use Azure Active Directory (AAD) as the central authentication and authorization system. AAD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。AAD protects data by using strong encryption for data at rest and in transit. また、AAD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。AAD also salts, hashes, and securely stores user credentials.

Enterprise セキュリティ パッケージ (ESP) が構成された Azure HDInsight クラスターはドメインに接続できるので、ドメイン ユーザーは自分のドメイン資格情報を使用してクラスターの認証を受けることができます。Azure HDInsight clusters with Enterprise Security Package (ESP) configured can be connected to a domain so that domain users can use their domain credentials to authenticate with the clusters.

AAD インスタンスを作成して構成する方法:How to create and configure an AAD instance:

https://docs.microsoft.com/azure/active-directory/fundamentals/active-directory-access-create-new-tenant

Azure HDInsight で Azure Active Directory Domain Services を使用して Enterprise セキュリティ パッケージを構成する方法:How to configure Enterprise Security Package with Azure Active Directory Domain Services in Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/domain-joined/apache-domain-joined-configure-using-azure-adds

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.10: ユーザー アクセスを定期的に確認して調整する3.10: Regularly review and reconcile user access

ガイダンス:Azure HDInsight クラスターで Azure Active Directory (AAD) の認証を使用します。Guidance: Use Azure Active Directory (AAD) authentication with your Azure HDInsight cluster. AAD には、古いアカウントの検出に役立つログが用意されています。AAD provides logs to help discover stale accounts. また、Azure ID アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。In addition, use Azure Identity Access Reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User's access can be reviewed on a regular basis to make sure only the right Users have continued access.

Azure ID アクセス レビューの使用方法:How to use Azure Identity Access Reviews:

https://docs.microsoft.com/azure/active-directory/governance/access-reviews-overview

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.11: 非アクティブ化されたアカウントへのアクセス試行を監視する3.11: Monitor attempts to access deactivated accounts

ガイダンス:Azure Active Directory (AAD) サインインと監査ログを使用して、非アクティブ化されたアカウントへのアクセス試行の監視を行います。これらのログは、任意のサードパーティ製 SIEM/監視ツールに統合できます。Guidance: Use Azure Active Directory (AAD) Sign-in and Audit logs to monitor for attempts to access deactivated accounts; these logs can be integrated into any third-party SIEM/monitoring tool.

このプロセスを効率化するには、AAD ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Azure Log Analytics ワークスペースに送信します。You can streamline this process by creating Diagnostic Settings for AAD user accounts, sending the audit logs and sign-in logs to a Azure Log Analytics workspace. Azure Log Analytics ワークスペース内に目的のアラートを構成します。Configure desired Alerts within Azure Log Analytics workspace.

Azure Activity Logs を Azure Monitor に統合する方法:How to integrate Azure Activity Logs into Azure Monitor:

https://docs.microsoft.com/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.12: アカウント ログイン動作の偏差に関するアラートを生成する3.12: Alert on account login behavior deviation

ガイダンス:Enterprise セキュリティ パッケージ (ESP) が構成された Azure HDInsight クラスターはドメインに接続できるので、ドメイン ユーザーは自分のドメイン資格情報を使用してクラスターの認証を受けることができます。Guidance: Azure HDInsight clusters with Enterprise Security Package (ESP) configured can be connected to a domain so that domain users can use their domain credentials to authenticate with the clusters. ユーザー ID に関連する検出された疑わしいアクションへの自動応答を構成するには、Azure Active Directory (AAD) リスク検出および Identity Protection 機能を使用します。Use Azure Active Directory (AAD) Risk Detections and Identity Protection feature to configure automated responses to detected suspicious actions related to user identities. また、さらに詳しく調査するためにデータを Azure Sentinel に取り込むこともできます。Additionally, you can ingest data into Azure Sentinel for further investigation.

AAD の危険なサインインを表示する方法:How to view AAD risky sign-ins:

https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risky-sign-ins

ID Protection のリスク ポリシーを構成して有効にする方法:How to configure and enable Identity Protection risk policies:

https://docs.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policies

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする3.13: Provide Microsoft with access to relevant customer data during support scenarios

ガイダンス:使用できません。Azure HDInsight ではまだカスタマー ロックボックスがサポートされていません。Guidance: Not available; Customer Lockbox not yet supported for Azure HDInsight.

カスタマー ロックボックスでサポートされているサービスの一覧: https://docs.microsoft.com/azure/security/fundamentals/customer-lockbox-overview#supported-services-and-scenarios-in-general-availabilityList of Customer Lockbox supported services: https://docs.microsoft.com/azure/security/fundamentals/customer-lockbox-overview#supported-services-and-scenarios-in-general-availability

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

データ保護Data Protection

詳細については、「セキュリティ コントロール: データ保護」を参照してください。For more information, see Security Control: Data Protection.

4.1: 機密情報のインベントリを維持する4.1: Maintain an inventory of sensitive Information

ガイダンス:Azure HDInsight デプロイに関連するリソースに対してタグを使用すると、機密情報を格納または処理する Azure リソースの追跡に役立ちます。Guidance: Use tags on resources related to your Azure HDInsight deployments to assist in tracking Azure resources that store or process sensitive information.

タグを作成して使用する方法:How to create and use tags:

https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.2:機密情報を格納または処理するシステムを分離する4.2: Isolate systems storing or processing sensitive information

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。Guidance: Implement separate subscriptions and/or management groups for development, test, and production. Azure HDInsight クラスターおよび関連するすべてのストレージ アカウントは、仮想ネットワーク/サブネット別に分離され、適切にタグ付けされて、ネットワーク セキュリティ グループ (NSG) または Azure Firewall 内でセキュリティ保護される必要があります。Azure HDInsight clusters and any associated storage accounts should be separated by virtual network/subnet, tagged appropriately, and secured within an network security group (NSG) or Azure Firewall. クラスター データは、セキュリティで保護された Azure Storage アカウントまたは Azure Data Lake Storage (Gen1 または Gen2) 内に含まれている必要があります。Cluster data should be contained within a secured Azure Storage Account or Azure Data Lake Storage (Gen1 or Gen2).

Azure HDInsight クラスター用のストレージ オプションを選択する:Choose storage options for your Azure HDInsight cluster:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-compare-storage-options

Azure Data Lake Storage をセキュリティで保護する方法:How to secure Azure Data Lake Storage:

https://docs.microsoft.com/azure/data-lake-store/data-lake-store-security-overview

Azure Storage アカウントをセキュリティで保護する方法:How to secure Azure Storage Accounts:

https://docs.microsoft.com/azure/storage/common/storage-security-guide

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

4.3:機密情報の承認されていない転送を監視してブロックする4.3: Monitor and block unauthorized transfer of sensitive information

ガイダンス:機密情報を格納または処理する Azure HDInsight クラスターの場合は、タグを使用してクラスターと関連リソースを機密としてマークします。Guidance: For Azure HDInsight clusters storing or processing sensitive information, mark the cluster and related resources as sensitive using tags. 窃盗によるデータ損失のリスクを軽減するには、Azure Firewall を使用して Azure HDInsight クラスターに対する送信ネットワーク トラフィックを制限します。To reduce the risk of data loss via exfiltration, restrict outbound network traffic for Azure HDInsight clusters using Azure Firewall.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Firewall を使用して Azure HDInsight クラスターに対する送信トラフィックを制限する方法:How to restrict outbound traffic for Azure HDInsight Clusters with Azure Firewall:

https://docs.microsoft.com/azure/hdinsight/hdinsight-restrict-outbound-traffic

Azure での顧客データの保護の概要:Understand customer data protection in Azure:

https://docs.microsoft.com/azure/security/fundamentals/protection-customer-data

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.4:転送中のすべての機密情報を暗号化する4.4: Encrypt all sensitive information in transit

ガイダンス:転送中のすべての機密情報を暗号化します。Guidance: Encrypt all sensitive information in transit. Azure HDInsight クラスターまたはクラスター データ ストア (Azure Storage アカウントまたは Azure Data Lake Storage Gen1/Gen2) に接続しているすべてのクライアントにおいて TLS 1.2 以上をネゴシエートできることを確認します。Ensure that any clients connecting to your Azure HDInsight cluster or cluster data stores (Azure Storage Accounts or Azure Data Lake Storage Gen1/Gen2) are able to negotiate TLS 1.2 or greater. Microsoft Azure リソースでは、既定で TLS 1.2 をネゴシエートします。Microsoft Azure resources will negotiate TLS 1.2 by default.

Azure Data Lake Storage の転送中の暗号化の概要:Understand Azure Data Lake Storage encryption in transit:

https://docs.microsoft.com/azure/data-lake-store/data-lake-store-security-overview

Azure Storage アカウントの転送中の暗号化の概要:Understand Azure Storage Account encryption in transit:

https://docs.microsoft.com/azure/storage/common/storage-security-guide#encryption-in-transit

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

4.5:アクティブ検出ツールを使用して機密データを特定する4.5: Use an active discovery tool to identify sensitive data

ガイダンス:Azure Storage またはコンピューティング リソースでは、データの識別、分類、損失防止機能はまだ使用できません。Guidance: Data identification, classification, and loss prevention features are not yet available for Azure Storage or compute resources. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement third-party solution if required for compliance purposes.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure での顧客データの保護の概要:Understand customer data protection in Azure:

https://docs.microsoft.com/azure/security/fundamentals/protection-customer-data

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.6:Azure RBAC を使用してリソースへのアクセスを制御する4.6: Use Azure RBAC to control access to resources

ガイダンス:Azure HDInsight Enterprise セキュリティ パッケージ (ESP) を利用すると、Apache Ranger を使用してファイル、フォルダー、データベース、テーブル、および行/列に格納されているデータに対して、詳細なアクセス制御とデータ難読化ポリシーを作成して管理することができます。Guidance: With Azure HDInsight Enterprise Security Package (ESP), you can use Apache Ranger to create and manage fine-grained access control and data obfuscation policies for your data stored in files, folders, databases, tables and rows/columns. Hadoop 管理者は、Apache Ranger 上でそれらのプラグインを使用して、ロールベースのアクセス制御 (RBAC) を構成して Apache Hive、HBase、Kafka、および Spark をセキュリティ保護できます。The hadoop admin can configure role-based access control (RBAC) to secure Apache Hive, HBase, Kafka and Spark using those plugins in Apache Ranger.

Apache Ranger を使用して RBAC ポリシーを構成すると、組織内のロールにアクセス許可を関連付けることができます。Configuring RBAC policies with Apache Ranger allows you to associate permissions with a role in the organization. この抽象化レイヤーを使用すると、より簡単に、ユーザーが作業の責任を果たすために必要なアクセス許可のみを持つようにできます。This layer of abstraction makes it easier to ensure that people have only the permissions needed to perform their work responsibilities.

HDInsight での Azure Active Directory Domain Services を使用した Enterprise セキュリティ パッケージの構成:Enterprise Security Package configurations with Azure Active Directory Domain Services in HDInsight:

https://docs.microsoft.com/azure/hdinsight/domain-joined/apache-domain-joined-configure-using-azure-adds

Azure HDInsight のエンタープライズ セキュリティの概要:Overview of enterprise security in Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/domain-joined/hdinsight-security-overview

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する4.7: Use host-based data loss prevention to enforce access control

ガイダンス:機密情報を格納または処理する Azure HDInsight クラスターの場合は、タグを使用してクラスターと関連リソースを機密としてマークします。Guidance: For Azure HDInsight clusters storing or processing sensitive information, mark the cluster and related resources as sensitive using tags. Azure Storage またはコンピューティング リソースでは、データの識別、分類、損失防止機能はまだ使用できません。Data identification, classification, and loss prevention features are not yet available for Azure Storage or compute resources. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement third-party solution if required for compliance purposes.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure での顧客データの保護の概要:Understand customer data protection in Azure:

https://docs.microsoft.com/azure/security/fundamentals/protection-customer-data

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.8:機密情報を保存時に暗号化する4.8: Encrypt sensitive information at rest

ガイダンス:Azure SQL Database を使用して Apache Hive と Apache Oozie メタデータを格納する場合は、常に SQL データが暗号化された状態を保証するようにします。Guidance: If using Azure SQL Database to store Apache Hive and Apache Oozie metadata, ensure SQL data remains encrypted at all times. Azure Storage Accounts および Data Lake Storage (Gen1 または Gen2) では、Microsoft による暗号化キーの管理を許可することをお勧めします。ただし、必要に応じて、ご自身のキーを自分で管理することも可能です。For Azure Storage Accounts and Data Lake Storage (Gen1 or Gen2), it is recommended to allow Microsoft to manage your encryption keys, however, you have the option to manage your own keys.

Azure Storage アカウントの暗号化キーを管理する方法:How to manage encryption keys for Azure Storage Accounts:

https://docs.microsoft.com/azure/storage/common/storage-encryption-keys-portal

カスタマー マネージド暗号化キーを使用して Azure Data Lake Storage を作成する方法:How to create Azure Data Lake Storage using customer managed encryption keys:

https://docs.microsoft.com/azure/data-lake-store/data-lake-store-get-started-portal

Azure SQL Database の暗号化の概要:Understand encryption for Azure SQL Database:

https://docs.microsoft.com/azure/sql-database/sql-database-technical-overview#data-encryption

カスタマー マネージド キーを使用して SQL Database の Transparent Data Encryption を構成する方法:How to configure Transparent Data Encryption for SQL Database using customer managed keys:

https://docs.microsoft.com/azure/sql-database/transparent-data-encryption-azure-sql?tabs=azure-portal

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

4.9:重要な Azure リソースへの変更に関するログとアラート4.9: Log and alert on changes to critical Azure resources

ガイダンス:クラスター データに対するすべての CRUD 操作を監視してログに記録するように、Azure HDInsight クラスターに関連付けられている Azure Storage アカウントの診断設定を構成します。Guidance: Configure Diagnostic Settings for Azure Storage Accounts associated with Azure HDInsight clusters to monitor and log all CRUD operations against cluster data. Azure HDInsight クラスターに関連付けられている任意のストレージ アカウントまたは Data Lake Store の監査を有効にします。Enable Auditing for any Storage Accounts or Data Lake Stores associated with the Azure HDInsight cluster.

Azure Storage アカウントでの追加のログ記録/監査を有効にする方法:How to enable additional logging/auditing for an Azure Storage Account:

https://docs.microsoft.com/azure/storage/common/storage-monitor-storage-account

Azure Data Lake Storage での追加のログ記録/監査を有効にする方法:How to enable additional logging/auditing for Azure Data Lake Storage:

https://docs.microsoft.com/azure/data-lake-analytics/data-lake-analytics-diagnostic-logs

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

脆弱性の管理Vulnerability Management

詳細については、「セキュリティ コントロール: 脆弱性の管理」を参照してください。For more information, see Security Control: Vulnerability Management.

5.1:自動化された脆弱性スキャン ツールを実行する5.1: Run automated vulnerability scanning tools

ガイダンス:サードパーティの脆弱性管理ソリューションを実装します。Guidance: Implement a third-party vulnerability management solution.

Rapid7、Qualys、またはその他の脆弱性管理プラットフォーム サブスクリプションをお持ちの場合は、必要に応じて、スクリプト アクションを使用して Azure HDInsight クラスター ノードに脆弱性評価エージェントをインストールして、各ポータルからノードを管理できます。Optionally, if you have a Rapid7, Qualys, or any other vulnerability management platform subscription, you may use script actions to install vulnerability assessment agents on your Azure HDInsight cluster nodes and manage the nodes through the respective portal.

Rapid7 エージェントを手動でインストールする方法:How to Install Rapid7 Agent Manually:

https://insightvm.help.rapid7.com/docs/install

Qualys エージェントを手動でインストールする方法:How to install Qualys Agent Manually:

https://www.qualys.com/docs/qualys-cloud-agent-linux-install-guide.pdf

スクリプト アクションの使用方法:How to use script actions:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-customize-cluster-linux

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する5.2: Deploy automated operating system patch management solution

ガイダンス:クラスター ノード イメージに対してシステムの自動更新が有効になっていますが、更新が適用されていることを確認するには、定期的にクラスター ノードを再起動する必要があります。Guidance: Automatic system updates have been enabled for cluster node images, however you must periodically reboot cluster nodes to ensure updates are applied.

Microsoft では、Azure HDInsight ノードの基本イメージを管理および更新します。Microsoft to maintain and update base Azure HDInsight node images.

HDInsight クラスターの OS 修正プログラム適用スケジュールを構成する方法:How to configure the OS patching schedule for HDInsight clusters:

https://docs.microsoft.com/azure/hdinsight/hdinsight-os-patching

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

5.3:サードパーティの自動化されたソフトウェア修正プログラム管理ソリューションを展開する5.3: Deploy automated third-party software patch management solution

ガイダンス:スクリプト アクションまたはその他のメカニズムを使用して、Azure HDInsight クラスターに修正プログラムを適用します。Guidance: Use script actions or other mechanisms to patch your Azure HDInsight clusters. 新しく作成されたクラスターには、利用可能な最新の更新プログラムが常に保持されます (最新のセキュリティ パッチを含む)。Newly created clusters will always have the latest available updates, including the most recent security patches.

Linux ベースの Azure HDInsight クラスターの OS 修正プログラム適用スケジュールを構成する方法:How to configure the OS patching schedule for Linux-based Azure HDInsight clusters:

https://docs.microsoft.com/azure/hdinsight/hdinsight-os-patching

スクリプト アクションの使用方法:How to use script actions:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-customize-cluster-linux

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

5.4:バックツーバックの脆弱性スキャンを比較する5.4: Compare back-to-back vulnerability scans

ガイダンス:時間の経過に伴って脆弱性スキャンを比較できるサードパーティの脆弱性管理ソリューションを実装します。Guidance: Implement a third-party vulnerability management solution which has the ability to compare vulnerability scans over time. Rapid7 または Qualys サブスクリプションをお持ちの場合は、そのベンダーのポータルを使用してバックツーバックの脆弱性スキャンを表示および比較できます。If you have a Rapid7 or Qualys subscription, you may use that vendor's portal to view and compare back-to-back vulnerability scans.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

ガイダンス:一般的なリスク スコアリング プログラム (Common Vulnerability Scoring System など)、またはサードパーティのスキャン ツールによって提供される既定のリスク評価を使用します。Guidance: Use a common risk scoring program (e.g. Common Vulnerability Scoring System) or the default risk ratings provided by your third-party scanning tool.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

インベントリと資産の管理Inventory and Asset Management

詳細については、「セキュリティ コントロール: インベントリと資産の管理」を参照してください。For more information, see Security Control: Inventory and Asset Management.

6.1:Azure Asset Discovery を使用する6.1: Use Azure Asset Discovery

ガイダンス:Azure Resource Graph を使用して、Azure HDInsight クラスターを含めて、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。Guidance: Use Azure Resource Graph to query/discover all resources (such as compute, storage, network, ports, and protocols etc.), including Azure HDInsight clusters, within your subscription(s). テナント内の適切な (読み取り) アクセス許可を持っており、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙できることを確認します。Ensure you have appropriate (read) permissions in your tenant and are able to enumerate all Azure subscriptions as well as resources within your subscriptions.

従来の Azure リソースは Resource Graph で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。Although classic Azure resources may be discovered via Resource Graph, it is highly recommended to create and use Azure Resource Manager resources going forward.

Azure Resource Graph を使用してクエリを作成する方法:How to create queries with Azure Resource Graph:

https://docs.microsoft.com/azure/governance/resource-graph/first-query-portal

Azure サブスクリプションを確認する方法:How to view your Azure Subscriptions:

https://docs.microsoft.com/powershell/module/az.accounts/get-azsubscription

Azure RBAC を理解する:Understand Azure RBAC:

https://docs.microsoft.com/azure/role-based-access-control/overview

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.2:資産メタデータを保持する6.2: Maintain asset metadata

ガイダンス:メタデータを提供する Azure リソースにタグを適用すると、それらのリソースが各分類に論理的に整理されます。Guidance: Apply tags to Azure resources giving metadata to logically organize them into a taxonomy.

タグを作成して使用する方法:How to create and use tags:

https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.3:承認されていない Azure リソースを削除する6.3: Delete unauthorized Azure resources

ガイダンス:必要に応じて、タグ付け、管理グループ、および個別のサブスクリプションを使用して、資産の整理と追跡を行います。Guidance: Use tagging, management groups, and separate subscriptions, where appropriate, to organize and track assets. 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

追加の Azure サブスクリプションを作成する方法:How to create additional Azure subscriptions:

https://docs.microsoft.com/azure/billing/billing-create-subscription

管理グループを作成する方法:How to create Management Groups:

https://docs.microsoft.com/azure/governance/management-groups/create

タグを作成して使用する方法:How to create and use tags:

https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.4:承認された Azure リソースとソフトウェア タイトルのインベントリを管理する6.4: Maintain an inventory of approved Azure resources and software titles

ガイダンス:コンピューティング リソース用に承認された Azure リソースと承認されたソフトウェアの一覧を定義します。Guidance: Define list of approved Azure resources and approved software for your compute resources

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.5:承認されていない Azure リソースを監視する6.5: Monitor for unapproved Azure resources

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

サブスクリプション内のリソースのクエリまたは検出を行うには、Azure Resource Graph を使用します。Use Azure Resource Graph to query/discover resources within your subscription(s). 環境に存在するすべての Azure リソースが承認されていることを確認します。Ensure that all Azure resources present in the environment are approved.

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Graph を使用してクエリを作成する方法: https://docs.microsoft.com/azure/governance/resource-graph/first-query-portalHow to create queries with Azure Graph: https://docs.microsoft.com/azure/governance/resource-graph/first-query-portal

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する6.6: Monitor for unapproved software applications within compute resources

ガイダンス:クラスター ノード上で承認されていないソフトウェア アプリケーションを監視するためのサードパーティ ソリューションを実装します。Guidance: Implement a third-party solution to monitor cluster nodes for unapproved software applications.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する6.7: Remove unapproved Azure resources and software applications

ガイダンス:Azure Resource Graph を使用して、Azure HDInsight クラスターを含めて、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。Guidance: Use Azure Resource Graph to query/discover all resources (such as compute, storage, network, ports, and protocols etc.), including Azure HDInsight clusters, within your subscription(s). 検出された承認されていない Azure リソースを削除します。Remove any unapproved Azure resources that you discover. Azure HDInsight クラスター ノードの場合は、承認されていないソフトウェアの削除またはアラート通知を行うためのサードパーティ ソリューションを実装します。For Azure HDInsight cluster nodes, implement a third-party solution to remove or alert on unapproved software.

Azure Graph を使用してクエリを作成する方法:How to create queries with Azure Graph:

https://docs.microsoft.com/azure/governance/resource-graph/first-query-portal

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.8:承認されたアプリケーションのみを使用する6.8: Use only approved applications

ガイダンス:Azure HDInsight クラスター ノードの場合は、承認されていないソフトウェアの実行を防止するためのサードパーティ ソリューションを実装します。Guidance: For Azure HDInsight cluster nodes, implement a third-party solution to prevent unauthorized software from executing.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.9:承認された Azure サービスのみを使用する6.9: Use only approved Azure services

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Policy を使用して特定のリソースの種類を拒否する方法: https://docs.microsoft.com/azure/governance/policy/samples/not-allowed-resource-typesHow to deny a specific resource type with Azure Policy: https://docs.microsoft.com/azure/governance/policy/samples/not-allowed-resource-types

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.10:承認されたアプリケーションの一覧を実装する6.10: Implement approved application list

ガイダンス:Azure HDInsight クラスター ノードの場合は、承認されていないファイルの種類の実行を防止するためのサードパーティ ソリューションを実装します。Guidance: For Azure HDInsight cluster nodes, implement a third-party solution to prevent unauthorized file types from executing.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.11:スクリプトを使用して Azure Resource Manager を操作するユーザーの機能を制限する6.11: Limit users' ability to interact with Azure Resources Manager via scripts

ガイダンス:"Microsoft Azure Management" アプリに対して [アクセスのブロック] を構成することによって、Azure Resource Manager を操作するユーザーの機能を制限するには、Azure 条件付きアクセスを使用します。Guidance: Use Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring "Block access" for the "Microsoft Azure Management" App.

条件付きアクセスを構成して Azure Resource Manager へのアクセスをブロックする方法: https://docs.microsoft.com/azure/role-based-access-control/conditional-access-azure-managementHow to configure Conditional Access to block access to Azure Resource Manager: https://docs.microsoft.com/azure/role-based-access-control/conditional-access-azure-management

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.12:コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限する6.12: Limit users' ability to execute scripts within compute resources

ガイダンス: 適用なし。クラスターのユーザー (管理者以外) は、ジョブを実行するために個々のノードへのアクセスを必要としないため、これは Azure HDInsight には適用できません。Guidance: Not applicable; This is not applicable to Azure HDInsight as users (non-administrators) of the cluster do not need access to the individual nodes to run jobs. クラスター管理者には、すべてのクラスター ノードへのルート アクセス権があります。The cluster administrator has root access to all cluster nodes.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 適用なしResponsibility: Not applicable

6.13:リスクの高いアプリケーションを物理的または論理的に分離する6.13: Physically or logically segregate high risk applications

ガイダンス: 適用なし。ベンチマークでは、Web アプリケーションをホストしている Azure アプリ サービスまたはコンピューティング リソースを対象にしています。Guidance: Not applicable; benchmark is intended for Azure Apps Service or compute resources hosting web applications.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 適用なしResponsibility: Not applicable

セキュリティで保護された構成Secure Configuration

詳細については、「セキュリティ コントロール: セキュリティで保護された構成」を参照してください。For more information, see Security Control: Secure Configuration.

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する7.1: Establish secure configurations for all Azure resources

ガイダンス:HDInsight クラスターのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.HDInsight" 名前空間内で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the "Microsoft.HDInsight" namespace to create custom policies to audit or enforce the network configuration of your HDInsight cluster.

使用可能な Azure Policy エイリアスを表示する方法:How to view available Azure Policy aliases:

https://docs.microsoft.com/powershell/module/az.resources/get-azpolicyalias

Azure Policy を構成して管理する方法:How to configure and manage Azure Policy:

https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する7.2: Establish secure operating system configurations

ガイダンス:Azure HDInsight のオペレーティング システム イメージは、Microsoft によって管理および保守されます。Guidance: Azure HDInsight Operating System Images managed and maintained by Microsoft. クラスター ノードのオペレーティング システムにセキュリティで保護された構成を実装する責任は、お客様が負います。Customer responsible for implementing secure configurations for your cluster nodes' operating system.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.3:セキュリティで保護された Azure リソースの構成を維持する7.3: Maintain secure Azure resource configurations

ガイダンス: Azure HDInsight クラスターと関連リソースにセキュリティで保護された設定を適用するには、Azure Policy の [拒否] と [存在する場合はデプロイする] を使用します。Guidance: Use Azure Policy [deny] and [deploy if not exist] to enforce secure settings for your Azure HDInsight clusters and related resources.

Azure Policy を構成して管理する方法:How to configure and manage Azure Policy:

https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Policy の効果を理解する:Understand Azure Policy Effects:

https://docs.microsoft.com/azure/governance/policy/concepts/effects

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する7.4: Maintain secure operating system configurations

ガイダンス:Azure HDInsight のオペレーティング システム イメージは、Microsoft によって管理および保守されます。Guidance: Azure HDInsight Operating System Images managed and maintained by Microsoft. OS レベルの状態構成を実装する責任は、お客様が負います。Customer responsible for implementing OS-level state configuration.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

7.5:Azure リソースの構成を安全に格納する7.5: Securely store configuration of Azure resources

ガイダンス: カスタムの Azure Policy 定義を使用する場合は、Azure DevOps または Azure Repos を使用して、コードを安全に格納して管理します。Guidance: If using custom Azure Policy definitions, use Azure DevOps or Azure Repos to securely store and manage your code.

Azure DevOps でコードを格納する方法How to store code in Azure DevOps

Azure Repos のドキュメントAzure Repos Documentation

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する7.6: Securely store custom operating system images

ガイダンス: 適用なし。カスタム イメージは、Azure HDInsight には適用できません。Guidance: Not applicable; custom images not applicable to Azure HDInsight.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 適用なしResponsibility: Not applicable

7.7:システム構成管理ツールをデプロイする7.7: Deploy system configuration management tools

ガイダンス:"Microsoft.HDInsight" 名前空間で Azure Policy エイリアスを使用して、システム構成のアラート通知、監査、適用を行うためのカスタム ポリシーを作成します。Guidance: Use Azure Policy aliases in the "Microsoft.HDInsight" namespace to create custom policies to alert, audit, and enforce system configurations. さらに、ポリシー例外を管理するためのプロセスとパイプラインを作成します。Additionally, develop a process and pipeline for managing policy exceptions.

Azure Policy を構成して管理する方法:How to configure and manage Azure Policy:

https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.8:オペレーティング システム用のシステム構成管理ツールをデプロイする7.8: Deploy system configuration management tools for operating systems

ガイダンス:クラスター ノードのオペレーティング システムの望ましい状態を保持するためのサードパーティ ソリューションを実装します。Guidance: Implement a third-party solution to maintain desired state for your cluster node operating systems.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.9:Azure サービスの自動構成監視を実装する7.9: Implement automated configuration monitoring for Azure services

ガイダンス:HDInsight クラスターの構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.HDInsight" 名前空間内で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the "Microsoft.HDInsight" namespace to create custom policies to audit or enforce the configuration of your HDInsight cluster.

使用可能な Azure Policy エイリアスを表示する方法How to view available Azure Policy aliases

Azure Policy を構成して管理する方法How to configure and manage Azure Policy

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.10:オペレーティング システムの自動構成監視を実装する7.10: Implement automated configuration monitoring for operating systems

ガイダンス:クラスター ノードのオペレーティング システムの状態を監視するためのサードパーティ ソリューションを実装します。Guidance: Implement a third-party solution to monitor the state of your cluster node operating systems.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.11:Azure シークレットを安全に管理する7.11: Manage Azure secrets securely

ガイダンス:Azure HDInsight では、Apache Kafka の BYOK (Bring Your Own Key) に対応しています。Guidance: Azure HDInsight includes Bring Your Own Key (BYOK) support for Apache Kafka. この機能では、保存データの暗号化に使用するキーを所有し、管理できます。This capability lets you own and manage the keys used to encrypt data at rest.

Azure HDInsight 内のマネージド ディスクはすべて、Azure Storage Service Encryption (SSE) によって保護されます。All managed disks in Azure HDInsight are protected with Azure Storage Service Encryption (SSE). 既定では、これらのディスク上のデータは、Microsoft が管理するキーを使用して暗号化されます。By default, the data on those disks is encrypted using Microsoft-managed keys. BYOK を有効にした場合は、Azure HDInsight の暗号化キーを指定し、Azure Key Vault を使ってそれを使用し管理します。If you enable BYOK, you provide the encryption key for Azure HDInsight to use and manage it using Azure Key Vault.

また、Key Vault は、クラスター ストレージ (Azure Storage アカウント、Azure Data Lake Storage) のキーを管理するために、Azure HDInsight デプロイによって使用される場合もあります。Key Vault may also be use with Azure HDInsight deployments to manage keys for cluster storage (Azure Storage Accounts, and Azure Data Lake Storage)

Azure HDInsight 上で Apache Kafka 用に自分のキーを持ち込む方法:How to bring your own key for Apache Kafka on Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/kafka/apache-kafka-byok

Azure Storage アカウントの暗号化キーを管理する方法:How to manage encryption keys for Azure Storage Accounts:

https://docs.microsoft.com/azure/storage/common/storage-encryption-keys-portal

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.12:ID を安全かつ自動的に管理する7.12: Manage identities securely and automatically

ガイダンス:Azure HDInsight でマネージド ID を使用すると、クラスターから Azure Active Directory Domain Services へのアクセス、Azure Key Vault へのアクセス、または Azure Data Lake Storage Gen2 内のファイルへのアクセスが可能になります。Guidance: Managed identities can be used in Azure HDInsight to allow your clusters to access Azure Active Directory domain services, access Azure Key Vault, or access files in Azure Data Lake Storage Gen2.

Azure HDInsight でのマネージド ID の概要:Understand Managed Identities with Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/hdinsight-managed-identities

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.13:意図しない資格情報の公開を排除する7.13: Eliminate unintended credential exposure

ガイダンス:Azure HDInsight デプロイに関連するコードを使用する場合は、資格情報スキャナーを実装して、コード内で資格情報を識別することができます。Guidance: If using any code related to your Azure HDInsight deployment, you may implement Credential Scanner to identify credentials within code. また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

資格情報スキャナーを設定する方法:How to setup Credential Scanner:

https://secdevtools.azurewebsites.net/helpcredscan.html

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

マルウェアからの防御Malware Defense

詳細については、「セキュリティ コントロール: マルウェアからの防御」を参照してください。For more information, see Security Control: Malware Defense.

8.1:一元管理されるマルウェア対策ソフトウェアを使用する8.1: Use centrally managed anti-malware software

ガイダンス:Azure HDInsight には Clamscan がプレインストールされ、クラスター ノード イメージに対して有効になっています。ただし、ソフトウェアを管理し、Clamscan によって生成されたログを手動で集計/監視する必要があります。Guidance: Azure HDInsight comes with Clamscan pre-installed and enabled for the cluster node images, however you must manage the software and manually aggregate/monitor any logs Clamscan produces.

Azure HDInsight での Clamscan の概要:Understand Clamscan for Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/hdinsight-faq#security-and-certificates

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする8.2: Pre-scan files to be uploaded to non-compute Azure resources

ガイダンス:Microsoft Antimalware は、Azure サービスをサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Guidance: Microsoft Antimalware is enabled on the underlying host that supports Azure services, however it does not run on customer content.

Data Lake Storage、Blob Storage など、Azure HDInsight クラスター デプロイに関連する Azure リソースにアップロードされているすべてのファイルを事前にスキャンします。Microsoft では、これらのインスタンス内の顧客データにアクセスできません。Pre-scan any files being uploaded to any Azure resources related to your Azure HDInsight cluster deployment, such as Data Lake Storage, Blob Storage, etc. Microsoft cannot access customer data in these instances.

Azure Cloud Services および Virtual Machines 向けの Microsoft Antimalware について:Understand Microsoft Antimalware for Azure Cloud Services and Virtual Machines:

https://docs.microsoft.com/azure/security/fundamentals/antimalware

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

手順 8.3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする8.3: Ensure anti-malware software and signatures are updated

ガイダンス:Azure HDInsight には Clamscan がプレインストールされており、クラスター ノード イメージに対して有効になっています。Guidance: Azure HDInsight comes with Clamscan pre-installed and enabled for the cluster node images. Clamscan では、エンジンと定義の更新は自動的に実行されますが、ログの集計と管理は手動で実行する必要があります。Clamscan will perform engine and definition updates automatically, however, aggregation and management of logs will need to be performed manually.

Azure HDInsight での Clamscan の概要:Understand Clamscan for Azure Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/hdinsight-faq#security-and-certificates

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

データの復旧Data Recovery

詳細については、「セキュリティ コントロール: データの復旧」を参照してください。For more information, see Security Control: Data Recovery.

9.1:定期的に自動バックアップを行う9.1: Ensure regular automated back ups

ガイダンス:HDInsight クラスター データ ストアに Azure Storage アカウントを使用している場合は、適切な冗長性オプション (LRS、ZRS、GRS、RA-GRS) を選択します。Guidance: When using an Azure Storage Account for the HDInsight cluster data store, choose the appropriate redundancy option (LRS,ZRS, GRS, RA-GRS). Azure HDInsight クラスター データ ストアに対して Azure SQL Database を使用する場合は、アクティブ geo レプリケーションを構成します。When using an Azure SQL Database for the Azure HDInsight cluster data store, configure Active Geo-replication.

Azure Storage アカウントのストレージ冗長性を構成する方法:How to configure storage redundancy for Azure Storage Accounts:

https://docs.microsoft.com/azure/storage/common/storage-redundancy

Azure SQL Database の冗長性を構成する方法:How to configure redundancy for Azure SQL Database:

https://docs.microsoft.com/azure/sql-database/sql-database-active-geo-replication

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

9.2: システムの完全バックアップを実行し、カスタマー マネージド キーをバックアップする9.2: Perform complete system backups and backup any customer managed keys

ガイダンス:Azure HDInsight クラスター データ ストアに Azure Storage アカウントを使用している場合は、適切な冗長性オプション (LRS、ZRS、GRS、RA-GRS) を選択します。Guidance: When using an Azure Storage Account for the Azure HDInsight cluster data store, choose the appropriate redundancy option (LRS,ZRS, GRS, RA-GRS). Azure HDInsight のデプロイのいずれかの部分に Azure Key Vault を使用している場合は、キーが確実にバックアップされるようにしてください。If using Azure Key Vault for any part of your Azure HDInsight deployment, ensure your keys are backed up.

Azure HDInsight クラスター用のストレージ オプションを選択する:Choose storage options for your Azure HDInsight cluster:

https://docs.microsoft.com/azure/hdinsight/hdinsight-hadoop-compare-storage-options

Azure Storage アカウントのストレージ冗長性を構成する方法:How to configure storage redundancy for Azure Storage Accounts:

https://docs.microsoft.com/azure/storage/common/storage-redundancy

Azure 上で Key Vault のキーをバックアップする方法:How to backup Key Vault keys in Azure:

https://docs.microsoft.com/powershell/module/azurerm.keyvault/backup-azurekeyvaultkey

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する9.3: Validate all backups including customer managed keys

ガイダンス:Azure HDInsight のデプロイで Azure Key Vault が使用されている場合は、バックアップされたカスタマー マネージド キーの復元をテストします。Guidance: If Azure Key Vault is being used with your Azure HDInsight deployment, test restoration of backed up customer managed keys.

Azure HDInsight 上で Apache Kafka 用に自分のキーを持ち込む方法:How to bring your own key for Apache Kafka on Azure HDInsight:

https://docs.microsoft.com/azure/hdinsight/kafka/apache-kafka-byok

Azure で Key Vault のキーを復元する方法:How to restore key vault keys in Azure:

https://docs.microsoft.com/powershell/module/azurerm.keyvault/restore-azurekeyvaultkey

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

9.4: バックアップとカスタマー マネージド キーの保護を確保する9.4: Ensure protection of backups and customer managed keys

ガイダンス:Azure HDInsight のデプロイで Azure Key Vault が使用されている場合は、Key Vault での論理的な削除を有効にして、偶発的または悪意のある削除からキーを保護します。Guidance: If Azure Key Vault is being used with your Azure HDInsight deployment, enable Soft-Delete in Key Vault to protect keys against accidental or malicious deletion.

Azure Key Vault で論理的な削除を有効にする方法:How to enable Soft-Delete in Azure Key Vault:

https://docs.microsoft.com/azure/storage/blobs/storage-blob-soft-delete?tabs=azure-portal

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

インシデント対応Incident Response

詳細については、「セキュリティ コントロール: インシデント対応」を参照してください。For more information, see Security Control: Incident Response.

10.1:インシデント対応ガイドを作成する10.1: Create an incident response guide

ガイダンス:インシデント処理/管理のフェーズと担当者の役割を定義している記述されたインシデント対応計画があることを確認します。Guidance: Ensure that there are written incident response plans that defines roles of personnel as well as phases of incident handling/management.

Azure Security Center 内でワークフロー自動化を構成する方法:How to configure Workflow Automations within Azure Security Center:

https://docs.microsoft.com/azure/security-center/security-center-planning-and-operations-guide

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する10.2: Create an incident scoring and prioritization procedure

ガイダンス:Security Center は、アラートに重要度を割り当て、各アラートに対処する優先順位を付けることができます。これにより、リソースが侵害されたときに、すぐにアクセスできるようになります。Guidance: Security Center assigns a severity to alerts, to help you prioritize the order in which you attend to each alert, so that when a resource is compromised, you can get to it right away. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.3:セキュリティ対応手順のテスト10.3: Test security response procedures

ガイダンス: 定期的にシステムのインシデント対応機能をテストする演習を実施します。Guidance: Conduct exercises to test your systems' incident response capabilities on a regular cadence. 弱点やギャップを特定し、必要に応じて計画を見直します。NIST の出版物を参照してください。IT 計画と機能に関するテスト、トレーニング、および演習プログラムのガイド: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdfIdentify weak points and gaps and revise plan as needed.Refer to NIST's publication: Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities:https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdf

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します10.4: Provide security incident contact details and configure alert notifications for security incidents

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないパーティによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party.

Azure Security Center のセキュリティ連絡先を設定する方法:How to set the Azure Security Center Security Contact:

https://docs.microsoft.com/azure/security-center/security-center-provide-security-contact-details

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む10.5: Incorporate security alerts into your incident response system

ガイダンス:連続エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートします。Guidance: Export your Azure Security Center alerts and recommendations using the Continuous Export feature. 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。Continuous Export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Azure Security Center データ コネクタを使用して、アラートの Sentinel のストリーミングを実行できます。You may use the Azure Security Center data connector to stream the alerts Sentinel.

連続エクスポートを構成する方法:How to configure continuous export:

https://docs.microsoft.com/azure/security-center/continuous-export

Azure Sentinel にアラートをストリーミングする方法:How to stream alerts into Azure Sentinel:

https://docs.microsoft.com/azure/sentinel/connect-azure-security-center

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

10.6:セキュリティ アラートへの対応を自動化する10.6: Automate the response to security alerts

ガイダンス:セキュリティ アラートやセキュリティに関する推奨事項に対して "Logic Apps" 経由で応答を自動的にトリガーするには、Azure Security Center のワークフローの自動化機能を使用します。Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations.

ワークフローの自動化と Logic Apps を構成する方法:How to configure Workflow Automation and Logic Apps:

https://docs.microsoft.com/azure/security-center/workflow-automation

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

侵入テストとレッド チーム演習Penetration Tests and Red Team Exercises

詳細については、「セキュリティ コントロール: 侵入テストとレッド チーム演習」を参照してください。For more information, see Security Control: Penetration Tests and Red Team Exercises.

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、60 日以内に確実に修復されるようにします11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings within 60 days

ガイダンス:侵入テストが Microsoft のポリシーに違反しないようにするために、Microsoft の活動規則に従ってください。Guidance: Please follow the Microsoft Rules of Engagement to ensure your Penetration Tests are not in violation of Microsoft policies:

https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1.https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1.

Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施の詳細については、こちらの https://gallery.technet.microsoft.com/Cloud-Red-Teaming-b837392e で確認できます。You can find more information on Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft managed cloud infrastructure, services and applications, here: https://gallery.technet.microsoft.com/Cloud-Red-Teaming-b837392e

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

次のステップNext steps