HDInsight 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが HDInsight に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、HDInsight に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

HDInsight に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 HDInsight を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な HDInsight セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス:Azure HDInsight での境界セキュリティは、仮想ネットワークを使用して実現されます。 エンタープライズ管理者は、仮想ネットワーク内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。 Azure HDInsight クラスターと通信できるのは、NSG の受信規則で許可されている IP アドレスだけです。 この構成では、境界セキュリティを提供します。 仮想ネットワークにデプロイされているすべてのクラスターにも、プライベート エンドポイントがあります。 エンドポイントは、Virtual Network 内のプライベート IP アドレスに解決されます。 それにより、クラスター ゲートウェイへのプライベート HTTP アクセスが提供されます。

アプリケーションとエンタープライズのセグメント化戦略に基づき、NSG ルールに基づいて、内部リソース間のトラフィックを制限または許可します。 3 層アプリのような特定の適切に定義されたアプリケーションでは、これが高度にセキュリティで保護された既定での拒否になります。

通常、すべての種類のクラスターで必要なポート:

  • 22-23 - クラスター リソースへの SSH アクセス

  • 443 - Ambari、WebHCat REST API、HiveServer ODBC、JDBC

特定の種類のクラスターと詳細については、こちらの記事をご覧ください。

Azure Resource Manager (ARM) テンプレートで特定のネットワーク プロパティを構成すると、プライベート HDInsight クラスターを作成できます。 プライベート HDInsight クラスターを作成するには、次の 2 つのプロパティを使用します。

  • リソース プロバイダー接続をアウトバウンドに設定して、パブリック IP アドレスを削除します。

  • PrivateLink を有効に設定して、Azure Private Link を有効にし、プライベート エンドポイントを使用します。

詳細については、次のリファレンスを参照してください。

責任: Customer

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Azure Private Link を使用して、インターネットを経由せずに、仮想ネットワークから HDInsight へのプライベート アクセスを有効にします。 プライベート アクセスは、Azure 認証とトラフィック セキュリティに多層防御手段を追加します。

責任: Customer

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: 外部ネットワークからの攻撃に対して HDInsight リソースを保護します。 攻撃には次のものが含まれます。

  • 分散型サービス拒否 (DDoS) 攻撃

  • アプリケーション固有の攻撃

  • 未承諾で悪意のある可能性があるインターネット トラフィック

Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。 Azure 仮想ネットワークで DDoS Protection Standard を有効にすることで、DDoS 攻撃から資産を保護します。 Microsoft Defender for Cloud を使用して、ネットワーク関連リソース内の構成の誤りのリスクを検出します。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: Azure Virtual Network サービス タグを使用して、NSG または Azure Firewall 内の HDInsight リソースに対するネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 サービスのトラフィックを許可または拒否するには、適切なルールのソースまたはターゲットのフィールドに "HDInsight" のようなサービス タグ名を指定します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: DNS セキュリティのベスト プラクティスに従って、次のような一般的な攻撃を軽減します。

  • ダングリング DNS

  • DNS アンプ攻撃

  • DNS ポイズニングおよびスプーフィング

DNS サービスとして Azure DNS を使用する場合は、Azure のロールベースのアクセス制御 (RBAC) とリソース ロックを使用して、DNS ゾーンとレコードを偶発的な変更や悪意のある変更から保護してください。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: HDInsight は、デフォルトの ID およびアクセス管理サービスとして Azure AD を使用します。 Azure AD を標準化して、以下での組織の ID およびアクセス管理を統制します。

  • Microsoft Cloud リソース。 リソースには以下が含まれます。

    • Azure ポータル

    • Azure Storage

    • Azure Linux と Windows VM

    • Azure Key Vault

    • サービスとしてのプラットフォーム (PaaS)

    • サービスとしてのソフトウェア (SaaS) アプリケーション

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位に位置付ける必要があります。 Azure AD により、ID セキュリティ態勢を Microsoft のベスト プラクティスの推奨事項と比較するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

Enterprise セキュリティ パッケージ (ESP) を使って Azure HDInsight クラスターを構成します。 ユーザーが自分のドメイン資格情報を使ってクラスターで認証できるよう、これらのクラスターをドメインに接続できます。 HDInsight のリソース管理には、3 つの主要な Azure RBAC 組み込みロールを利用できます。

  • 閲覧者: シークレットを含む HDInsight リソースへの読み取りアクセス

  • HDInsight クラスター オペレーター: シークレットを含む HDInsight リソースへの読み取りおよび書き込みアクセス

  • 共同作成者: シークレットなどの読み取りおよび書き込みアクセスと、スクリプト アクションを実行する能力

行レベル セキュリティのためには、Apache Ranger を実装して Hive へのアクセス制御ポリシーを設定できます。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: HDInsight は、Azure リソースのマネージド ID をサポートしています。 サービス プリンシパルを作成する代わりに、HDInsight でマネージド ID を使用して、その他のリソースにアクセスします。 HDInsight が、Azure AD 認証をサポートする Azure のサービスとリソースに対してネイティブに認証を行うことができます。 認証は、事前に定義されたアクセス許可規則でサポートされています。 ソース コードまたは構成ファイルでハードコーディングされた資格情報は使用しません。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス:Azure HDInsight ID ブローカーを使用して、パスワードを指定せずに多要素認証を使って ESP クラスターにサインインします。 Azure portal などの他の Azure サービスに既にサインインしている場合は、SSO エクスペリエンスによって Azure HDInsight クラスターにサインインできます。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス:Azure HDInsight デプロイに関連するコードを使用する場合は、資格情報スキャナーを実装して、コード内で資格情報を識別することができます。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他の形式のシークレットを識別できます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: 最も重要な組み込み Azure AD ロールは、グローバル管理者と特権ロール管理者です。 この 2 つのロールを持っているユーザーは、管理者ロールを委任できます。

  • グローバル管理者または会社の管理者は、Azure AD ID を使用するすべての Azure AD 管理機能とサービスにアクセスできます。

  • 特権ロール管理者は、Azure AD と Azure AD Privileged Identity Management (PIM) におけるロールの割り当てを管理できます。 このロールは、PIM と管理単位のすべての側面を管理できます。

次の特権ロールを持つ HDInsight ESP を使用します。

  • クラスター管理者

  • クラスター オペレーター

  • サービス管理者

  • サービス オペレーター

  • クラスター ユーザー

専用管理者アカウントの使用に関する標準的な操作手順を作成します。 高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを昇格されたレベルで保護します。 高い特権を持つユーザーは、すべての Azure リソースを直接的または間接的に読み取って変更できます。

Azure AD PIM を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 JIT により、ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可が付与されます。 PIM を使用すると、Azure AD 組織内の不審な、または安全でないアクティビティに対して、セキュリティ アラートを生成することもできます。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: HDInsight はそのリソースの管理に Azure AD アカウントを使用します。 ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセス権を適切に保ってください。 Azure AD とアクセスのレビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure AD PIM でアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを簡素化することもできます。

管理者アカウントが多すぎる場合にアラートを出すように、Azure AD PIM を構成できます。 PIM は、古い管理者アカウントや不適切に構成されている管理者アカウントを特定できます。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高いロールのセキュリティには非常に重要です。 HDInsight リソースの管理に関係する管理タスクには、高度にセキュリティで保護されたユーザー ワークステーションと Azure Bastion を使用してください。

Azure AD、Microsoft Defender ATP、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元的に管理することで、次のようなセキュリティ構成を強制できます。

  • 強力な認証

  • ソフトウェアとハードウェアのベースライン

  • 制限付きの論理アクセスとネットワーク アクセス

詳細については、次のリファレンスを参照してください。

責任: Customer

PA-7: 最小限の特権の原則である Just Enough Administration に従う

ガイダンス: HDInsight は Azure RBAC と統合して、そのリソースを管理します。 RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。 ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。 特定のリソースには、定義済みの組み込みロールがあります。 Azure CLI、Azure PowerShell、Azure portal などのツールを使用して、これらのロールのインベントリを作成したりクエリを実行できます。

Azure RBAC を使用してリソースに割り当てる特権を、ロールで必要なものに制限します。 この方法は、Azure AD PIM の JIT アプローチを補完します。 ロールと割り当てを定期的に確認します。

組み込みロールを使用してアクセス許可を付与し、必要な場合にのみカスタム ロールを作成します。 HDInsight は Apache Ranger を使って、アクセス許可をより細かく制御できるようにします。

責任: Customer

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス: Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、HDInsight がカスタマー ロックボックスをサポートします。 それには、顧客データへのアクセス要求を確認し、承認または拒否するためのインターフェイスが用意されています。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: Azure HDInsight デプロイに関連するリソースに対してタグを使用すると、機密情報を格納または処理する Azure リソースの追跡に役立ちます。 Microsoft Purview を使用して機密データを分類して識別します。 HDInsight クラスターに関連付けられた SQL データベースまたは Azure ストレージ アカウントに格納されているすべてのデータに対して、サービスを使用します。

Microsoft が管理する基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱います。 Microsoft は、お客様のデータを損失や漏洩から保護するためにあらゆることを行います。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: 共有

DP-2:機密データを保護する

ガイダンス:開発、テスト、運用で別々のサブスクリプションと管理グループを実装します。 Azure HDInsight クラスターおよび関連するすべてのストレージ アカウントを、仮想ネットワークやサブネットによって分離し、適切にタグを付け、NSG または Azure Firewall 内でセキュリティ保護する必要があります。 クラスター データは、セキュリティで保護された Azure Storage アカウントまたは Azure Data Lake Storage (Gen1 または Gen2) に格納します。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス:機密情報を格納または処理する Azure HDInsight クラスターの場合は、タグを使用してクラスターと関連リソースを機密としてマークします。 窃盗によるデータ損失のリスクを軽減するには、Azure Firewall を使用して Azure HDInsight クラスターに対する送信ネットワーク トラフィックを制限します。

HDInsight では、機密データの認可されていない転送に対するネイティブな自動監視はサポートされていません。

Microsoft が管理する基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱います。 Microsoft は、お客様のデータを損失や漏洩から保護するためにあらゆることを行います。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: 共有

DP-4:転送中の機密情報を暗号化する

ガイダンス: HDInsight は、TLS v1.2 以上で転送中のデータの暗号化をサポートしています。 転送中のすべての機密情報を暗号化します。 Azure HDInsight クラスターまたはクラスター データ ストア (Azure Storage アカウントまたは Azure Data Lake Storage Gen1/Gen2) に接続しているすべてのクライアントにおいて、TLS 1.2 以上をネゴシエートできることを確認します。 Microsoft Azure リソースでは、既定で TLS 1.2 をネゴシエートします。

アクセス制御を補完するために、トラフィック キャプチャなどの "帯域外" 攻撃から転送中のデータを保護します。 暗号化を使用して、攻撃者がデータを簡単に読み取ったり変更したりできないようにします。

リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 SSL、TLS、SSH の古いバージョンとプロトコル、および弱い暗号は無効にする必要があります。

既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。

責任: 共有

DP-5:保存データを暗号化する

ガイダンス: Azure SQL Database を使用して Apache Hive と Apache Oozie メタデータを格納する場合は、常に SQL データが暗号化された状態を保証するようにします。 Azure ストレージ アカウントと Data Lake Storage (Gen1 または Gen2) では、Microsoft が暗号化キーを管理できるようにすることをお勧めします。ただし、必要に応じて、自分でキーを管理することもできますす。

HDInsight では、次の複数の種類の暗号化が 2 つの異なるレイヤーでサポートされています。

責任: 共有

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可をテナントのルート管理グループ全体に広範に適用するか、アクセス許可を特定の管理グループまたはサブスクリプションに範囲設定できます。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: セキュリティ チームが、HDInsight などの Azure 上で継続的に更新される資産インベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。 組織の認可済みセキュリティ チームを含めるための Azure AD グループを作成します。 すべての HDInsight リソースへの読み取りアクセス権を割り当てます。 サブスクリプション内で 1 つの高レベルのロールの割り当てを使用して、プロセスを簡略化できます。

Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーする規則を作成することもできます。

責任: Customer

AM-6:コンピューティング リソースで承認済みのアプリケーションのみを使用する

ガイダンス: Azure Resource Graph を使用して、Azure HDInsight クラスターを含めて、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリおよび検出を行います。 検出された承認されていない Azure リソースを削除します。 Azure HDInsight クラスター ノードの場合は、承認されていないソフトウェアの削除またはアラート通知を行うためのサードパーティ ソリューションを実装します。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Azure HDInsight は Defender をネイティブにサポートしておらず、ClamAV を使用します。 ただし、HDInsight に ESP を使っているときは、Microsoft Defender for Cloud の組み込み脅威検出機能の一部を使用できます。 また、HDInsight に関連付けられている VM に対して Microsoft Defender を有効にすることもできます。

HDInsight から SIEM に、カスタム脅威検出を設定するために使用できるログを転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Microsoft Defender for Cloud を使用し、Azure HDInsight クラスターのセキュリティ保護に使われる仮想ネットワーク、サブネット、NSG のネットワーク保護に関する推奨事項を修正します。 NSG フロー ログを有効にし、ログを Azure ストレージ アカウントに送信して、トラフィックの監査をサポートします。 また、NSG フロー ログを Azure Log Analytics ワークスペースに送信し、Azure Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。 Azure Traffic Analytics には、次のような利点があります。

  • ネットワーク アクティビティを視覚化し、ホット スポットを識別する。

  • セキュリティ上の脅威を識別する。

  • トラフィック フロー パターンを解釈する

  • ネットワークの構成ミスを特定する。

HDInsight は、お客様のアクセスのために処理するすべてのネットワーク トラフィックをログに記録します。 デプロイされているオファリング リソース内でネットワーク フロー機能を有効にします。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログは自動的に使用可能になります。 ログには、HDInsight リソースに対する GET 操作以外のすべての PUT、POST、DELETE 操作が記録されますが、読み取り操作 (GET) は記録されません。 アクティビティ ログを使用して、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースを変更した方法を監視したりできます。

HDInsight に対して Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントを調査したり、科学捜査を実施したりするために重要な場合があります。

HDInsight では、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 これらのローカル管理者監査ログを有効にします。

責任: Customer

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス: 分析のための HDInsight リソース用のログ ストレージを一元化します。 ログ ソースごとに、以下を確保していることを確認してください。

  • 任命されたデータ所有者

  • アクセス ガイダンス

  • 保存先

  • データの処理とアクセスに使用するツール

  • データ保持の要件

Azure アクティビティ ログを一元的なログ記録に統合してください。

Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されるセキュリティ データを集計します。 Azure Monitor で、Log Analytics ワークスペースを使用し、クエリを実行して分析を行います。

長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。

Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。 多くの組織は、使用頻度の高い "ホット" データには Microsoft Sentinel を使い、使用頻度の低い "コールド" データには Azure Storage を使います。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: HDInsight のログを格納するために使用するストレージ アカウントまたは Log Analytics ワークスペースに、組織のコンプライアンス規則に従ってログの保有期間が設定されていることを確認してください。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Microsoft は、ほとんどの Azure プラットフォームの PaaS および SaaS サービスのタイム ソースを保守しています。 特定の要件がない限り、VM では、時刻の同期に Microsoft の既定のネットワーク タイム プロトコル (NTP) サーバーを使用してください。 独自の NTP サーバーを立ち上げる必要がある場合は、UDP サービス ポート 123 をセキュリティで保護してください。 Azure 内のリソースによって生成されるすべてのログでは、既定で指定されたタイム ゾーンを使用してタイム スタンプが付けられます。

責任: 共有

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: カスタム ポリシーを作成するには、"Microsoft.HDInsight" 名前空間で Azure Policy エイリアスを使用します。 HDInsight クラスターのネットワーク構成を監査または適用するようにポリシーを構成します。

Rapid7、Qualys、またはその他の脆弱性管理プラットフォーム サブスクリプションを持っている場合は、オプションがあります。 スクリプト アクションを使用して Azure HDInsight クラスター ノードに脆弱性評価エージェントをインストールして、各ポータルからノードを管理できます。

Azure HDInsight ESP を利用すると、Apache Ranger を使用して、きめ細かいアクセス制御とデータ難読化ポリシーを作成して管理することができます。 次の場所に格納されているデータに対してそれを行うことができます。

  • ファイル

  • Folders

  • データベース

  • テーブル

Hadoop 管理者は、Apache Ranger 上でそれらのプラグインを使用して、Azure RBAC を構成して Apache Hive、HBase、Kafka、および Spark をセキュリティ保護できます。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Azure HDInsight クラスターと関連リソースにセキュリティで保護された設定を適用するには、Azure Policy の [拒否] と [存在する場合はデプロイする] を使用します。

責任: Customer

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス: Ubuntu イメージは、公開から 3 か月以内に入手できるようになり、新しい Azure HDInsight クラスターの作成に使用できます。 実行中のクラスターに修正プログラムが自動適用されることはありません。 お客様は、スクリプトによるアクションまたはその他のメカニズムを使用して、実行中のクラスターに修正プログラムを適用する必要があります。 ベスト プラクティスとして、これらのスクリプト アクションを実行し、クラスターの作成直後にセキュリティ更新プログラムを適用することができます

Microsoft Defender for Cloud と Azure Policy を使用して、VM やコンテナーなど、すべてのコンピューティング リソースにセキュリティで保護された構成を確立します。

責任: Customer

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス:Azure HDInsight のオペレーティング システム イメージは、Microsoft によって管理および保守されます。 ただし、そのイメージに対して OS レベルの状態構成を実装する責任はユーザーが負います。

Microsoft Defender for Cloud と Azure Policy を使用して、VM やコンテナーを含む Azure コンピューティング リソースに関する構成リスクを定期的に評価して修復します。 これらのリソースを使って、組織で必要なオペレーティング システムのセキュリティ構成を維持することもできます。

  • Azure Resource Manager (ARM) テンプレート。

  • カスタムのオペレーティング システム イメージ。

  • Azure Automation State Configuration。

Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせることで、セキュリティ要件を満たして維持するのに役立ちます。

責任: 共有

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス: お客様は、HDInsight を使って、オペレーティング システム イメージまたはコンテナー イメージを管理できます。 Azure RBAC を使用して、確実に承認されたユーザーのみがカスタム イメージにアクセスできます。 Azure Shared Image Gallery を使用して、組織内のさまざまなユーザー、サービス プリンシパル、Azure AD グループに対してイメージを共有できます。 コンテナー イメージを Azure Container Registry に格納し、Azure RBAC を使用して、許可されているユーザーのみがアクセスできるようにします。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: HDInsight では、ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用できます。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。

必要に応じて、スキャン結果を一定の間隔でエクスポートし、前回のスキャンと結果を比較して、脆弱性が修復されていることを確認します。

責任: Customer

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: 実行中の HDInsight クラスターに修正プログラムが自動適用されることはありません。 実行中のクラスターに修正プログラムを適用するには、スクリプトによるアクションまたは他のメカニズムのみを使用します。 ベスト プラクティスとして、これらのスクリプト アクションを実行し、クラスターの作成直後にセキュリティ更新プログラムを適用することができます。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft の Red Teaming の戦略と実行を使用します。 Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対して、ライブ サイト侵入テストを実行します。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1: エンドポイントでの検出と対応を使用する

ガイダンス: Azure HDInsight は Defender をネイティブにはサポートしていません。 ClamAV を使用します。 ClamAV のログを、集中管理された SIEM または他の検出およびアラート システムに転送します。

責任: Customer

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス:Azure HDInsight には Clamscan がプレインストールされており、クラスター ノード イメージに対して有効になっています。 ただし、ソフトウェアを管理し、Clamscan によって生成されたログを手動で集計および監視する必要があります。

責任: Customer

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス:Azure HDInsight には Clamscan がプレインストールされており、クラスター ノード イメージに対して有効になっています。 Clamscan は、エンジンと定義の更新を自動的に実行し、ClamAV の公式ウイルス署名データベースに基づいてマルウェア対策のシグネチャを更新します。

責任: Customer

バックアップと回復

詳細については、Azure セキュリティ ベンチマーク: バックアップと回復に関するページを参照してください。

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス:Azure HDInsight のデプロイで Azure Key Vault を使用している場合は、バックアップされたカスタマー マネージド キーの復元を定期的にテストします。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス:Azure HDInsight のデプロイで Azure Key Vault を使用している場合は、Key Vault での論理的な削除を有効にして、偶発的または悪意のある削除からキーを保護します。

責任: Customer

次のステップ