Azure-beveiligingsbasislijn voor HDInsight

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op HDInsight. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op HDInsight.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op HDInsight en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe HDInsight volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van de HDInsight-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Perimeterbeveiliging in Azure HDInsight wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk maken en een netwerkbeveiligingsgroep (NSG) gebruiken om de toegang tot het virtuele netwerk te beperken. Alleen de toegestane IP-adressen in de binnenkomende NSG-regels kunnen communiceren met het Azure HDInsight-cluster. Deze configuratie biedt een perimeterbeveiliging. Alle clusters die in een virtueel netwerk zijn geïmplementeerd, hebben ook een privé-eindpunt. Het eindpunt wordt omgezet in een privé-IP-adres in de Virtual Network. Het biedt privé-HTTP-toegang tot de clustergateways.

Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen, zoals een app met drie lagen, kan dit standaard een zeer veilige weigering zijn.

Poorten die over het algemeen vereist zijn voor alle typen clusters:

• 22-23 - SSH-toegang tot de clusterbronnen

• 443 - Ambari, WebHCat REST API, HiveServer ODBC en JDBC

Raadpleeg dit artikel voor specifieke typen clusters en meer informatie.

U kunt privé-HDInsight-clusters maken door specifieke netwerkeigenschappen te configureren in een ARM-sjabloon (Azure Resource Manager). Er zijn twee eigenschappen die u gebruikt om privé HDInsight-clusters te maken:

• Verwijder openbare IP-adressen door de verbinding van de resourceprovider in te stellen op uitgaand verkeer.

• Schakel Azure Private Link in en gebruik privé-eindpunten door PrivateLink in te stellen op Ingeschakeld.

Raadpleeg de volgende bronnen voor meer informatie:

• Persoonlijke HDInsight-clusters maken

• HDInsight Virtual Network-architectuur

• HDInsight Virtual Network-implementatie

• Transport Layer Security in Azure HDInsight

• Netwerkverkeer beheren in Azure HDInsight

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: gebruik Azure Private Link om privétoegang tot HDInsight vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden. Privétoegang voegt een diepgaande meting toe aan Azure-verificatie en verkeersbeveiliging.

• Azure HDInsight-clusters beveiligen en isoleren met Private Link

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: HDInsight-resources beveiligen tegen aanvallen van externe netwerken. Aanvallen kunnen het volgende omvatten:

• DDoS-aanvallen (Distributed Denial of Service)

• Toepassingsspecifieke aanvallen

• Ongevraagd en potentieel schadelijk internetverkeer

Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Beveilig assets tegen DDoS-aanvallen door DDoS Protection Standard in te schakelen in virtuele Azure-netwerken. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's in netwerkgerelateerde resources te detecteren.

• Communicatie met bekende schadelijke IP-adressen weigeren

• Versleuteling gebruiken om gegevens te beveiligen, zijn ingebouwd beleid voor Azure HDInsight

• documentatie voor Azure Firewall

• Azure DDoS Protection Standard beheren met behulp van de Azure Portal

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network-servicetags om besturingselementen voor netwerktoegang te definiëren voor HDInsight-resources in NSG's of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Geef een servicetagnaam op, zoals HDInsight, in het juiste regelbron- of doelveld om verkeer voor de service toe te staan of te weigeren. Microsoft beheert de adresvoorvoegsels van de servicetag en werkt de servicetag automatisch bij wanneer de adressen veranderen.

• Servicetags voor Azure HDInsight begrijpen en gebruiken

• Servicetags begrijpen en gebruiken

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals:

• Zwevende DNS

• DNS-versterkingsaanvallen

• DNS-vergiftiging en adresvervalsing

Wanneer u Azure DNS als uw DNS-service gebruikt, moet u ervoor zorgen dat u DNS-zones en -records beveiligt tegen onbedoelde of schadelijke wijzigingen met behulp van Azure Role-Based Access Control (RBAC) en resourcevergrendelingen.

• Azure HDInsight - On-premises netwerk verbinden

• Overzicht van Azure DNS

• Implementatiehandleiding voor Secure Domain Name System (DNS)

• Zwevende DNS-vermeldingen voorkomen en overname van subdomeinen voorkomen

• Een virtueel netwerk plannen voor Azure HDInsight

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: HDInsight gebruikt Azure AD als standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

• Microsoft Cloud-resources. Resources zijn onder andere:

  • Azure Portal

  • Azure Storage

  • Azure Linux- en Windows-VM's

  • Azure Key Vault

  • Platform-as-a-Service (PaaS)

  • SaaS-toepassingen (Software-as-a-Service)

• De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben voor de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen uw identiteitsbeveiligingspostuur te vergelijken met de aanbevelingen voor best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Azure HDInsight-clusters configureren met Enterprise Security Package (ESP). U kunt deze clusters verbinden met een domein, zodat gebruikers hun domeinreferenties kunnen gebruiken om te verifiëren met de clusters. Er zijn drie ingebouwde Rollen van Azure RBAC beschikbaar voor het resourcebeheer van HDInsight:

• Lezer: Leestoegang tot HDInsight-resources, inclusief geheimen

• HDInsight-clusteroperator: Lees- en schrijftoegang tot HDInsight-resources, inclusief geheimen

• Inzender: Lees- en schrijftoegang, inclusief geheimen en de mogelijkheid om scriptacties uit te voeren

Voor beveiliging op rijniveau kan Apache Ranger worden geïmplementeerd om beleidsregels voor toegangsbeheer in te stellen voor Hive.

• Apache Ranger configureren

• HDInsight-clusters configureren voor Azure Active Directory-integratie met Enterprise Security Package

• Tenancy in Azure Active Directory

• Een Azure AD-instantie maken en configureren

• Externe ID-providers voor een toepassing gebruiken

• HDInsight-clusterconfiguraties migreren met gedetailleerde toegangsclusters

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: HDInsight ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met HDInsight in plaats van service-principals te maken voor toegang tot andere resources. HDInsight kan systeemeigen worden geverifieerd bij de Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. De verificatie wordt ondersteund via een vooraf gedefinieerde regel voor het verlenen van toegang. Er worden geen referenties gebruikt die zijn vastgelegd in broncode- of configuratiebestanden.

• Inzicht in beheerde identiteiten met Azure HDInsight

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure HDInsight ID Broker gebruiken om u aan te melden bij ESP-clusters met behulp van meervoudige verificatie, zonder wachtwoorden op te geven. Als u zich al hebt aangemeld bij andere Azure-services, zoals de Azure Portal, kunt u zich aanmelden bij uw Azure HDInsight-cluster met eenmalige aanmelding.

• Azure HDInsight ID Broker inschakelen

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Als u code gebruikt die betrekking heeft op uw Azure HDInsight-implementatie, kunt u Referentiescanner implementeren om referenties in code te identificeren. Referentiescanner moedigt ook het verplaatsen van gedetecteerde referenties aan naar veiligere locaties, zoals Azure Key Vault.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere vormen van geheimen in de code te identificeren.

• Het is raadzaam om het scannen van referenties in te schakelen om te identificeren en te elimineren

• Referentiescanner instellen

• Scannen op geheimen in GitHub

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde Azure AD rollen zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers met deze twee rollen kunnen beheerdersrollen delegeren.

• De globale beheerder of bedrijfsbeheerder heeft toegang tot alle Azure AD beheerfuncties en services die gebruikmaken van Azure AD identiteiten.

• De beheerder van bevoorrechte rollen kan roltoewijzingen beheren in Azure AD en Azure AD Privileged Identity Management (PIM). Met deze rol kunnen alle aspecten van PIM en beheereenheden worden beheerd.

Gebruik HDInsight ESP, met de volgende bevoorrechte rollen:

• Clusterbeheerder

• Clusteroperator

• Servicebeheerder

• Serviceoperator

• Clustergebruiker

Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts. Beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau. Gebruikers met hoge bevoegdheden kunnen al uw Azure-resources direct of indirect lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent tijdelijke machtigingen om alleen bevoegde taken uit te voeren wanneer gebruikers deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren voor verdachte of onveilige activiteiten in uw Azure AD organisatie.

• Apache Hadoop-clusters beheren in HDInsight

• Machtigingen voor beheerdersrollen in Azure AD

• Beveiligingswaarschuwingen van Azure Privileged Identity Management gebruiken

• Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD

• Gebruikers met hoge bevoegdheden beveiligen en beperken

• Identiteitsbeheer

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: HDInsight gebruikt Azure AD accounts om de resources te beheren. Controleer regelmatig gebruikersaccounts en toegangstoewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD en toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook werkstromen voor toegangsbeoordelingsrapport maken in Azure AD PIM om het beoordelingsproces te vereenvoudigen.

U kunt Azure AD PIM configureren om u te waarschuwen wanneer er te veel beheerdersaccounts zijn. PIM kan beheerdersaccounts identificeren die verouderd of onjuist zijn geconfigureerd.

• Een toegangsbeoordeling van Azure-resourcerollen maken in Privileged Identity Management(PIM)

• Identiteits- en toegangsbeoordelingen van Azure AD

• Enterprise Security Package voor Azure HDInsight

• Configuraties van HDInsight-toegangsclusters migreren

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerders, ontwikkelaars en essentiële serviceoperators. Gebruik zeer beveiligde gebruikerswerkstations en Azure Bastion voor beheertaken met betrekking tot het beheren van uw HDInsight-resources.

Gebruik Azure AD, Microsoft Defender ATP of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. U kunt beveiligde werkstations centraal beheren om een beveiligingsconfiguratie af te dwingen die het volgende omvat:

• Strenge verificatie

• Software- en hardwarebasislijnen

• Beperkte logische en netwerktoegang

Raadpleeg de volgende bronnen voor meer informatie:

• Implementatie van bevoegde toegangswerkstations

• Een werkstation met uitgebreide toegang gebruiken

Verantwoordelijkheid: Klant

PA-7: Volg het principe van minimale bevoegdheden van net genoeg beheer

Richtlijnen: HDInsight kan worden geïntegreerd met Azure RBAC om de resources te beheren. Met RBAC beheert u toegang tot Azure-resources via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde, ingebouwde rollen. U kunt deze rollen inventariseren of opvragen via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.

Beperk de bevoegdheden die u toewijst aan resources via Azure RBAC tot wat de rollen nodig hebben. Deze praktijk vormt een aanvulling op de JIT-benadering van Azure AD PIM. Controleer regelmatig rollen en toewijzingen.

Gebruik ingebouwde rollen om machtigingen te verlenen en maak alleen aangepaste rollen wanneer dat nodig is. HDInsight maakt gebruik van Apache Ranger om gedetailleerdere controle over machtigingen mogelijk te maken.

• Migreren naar gedetailleerde, op rollen gebaseerde toegang voor clusterconfiguraties

• LDAP-synchronisatie in Ranger en Apache Ambari in Azure HDInsight

• Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)

• RBAC configureren in Azure

• Identiteits- en toegangsbeoordelingen van Azure AD

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces kiezen voor Microsoft-ondersteuning

Richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet krijgen tot klantgegevens, biedt HDInsight ondersteuning voor Customer Lockbox. Het biedt een interface voor u om aanvragen voor toegang tot klantgegevens te controleren en deze goed te keuren of af te wijzen.

• Inzicht in Customer Lockbox

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: Tags gebruiken voor resources met betrekking tot uw Azure HDInsight-implementaties om Azure-resources bij te houden die gevoelige informatie opslaan of verwerken. Gevoelige gegevens classificeren en identificeren met Microsoft Purview. Gebruik de service voor gegevens die zijn opgeslagen in SQL-databases of Azure Storage-accounts die zijn gekoppeld aan uw HDInsight-cluster.

Voor het onderliggende platform dat Door Microsoft wordt beheerd, behandelt Microsoft alle klantinhoud als gevoelig. Microsoft gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

• Overzicht van Microsoft Purview

• Tags maken en gebruiken

• Informatie over beveiliging van klantgegevens in Azure

Verantwoordelijkheid: Gedeeld

DP-2: Gevoelige gegevens beschermen

Richtlijnen: afzonderlijke abonnementen en beheergroepen implementeren voor ontwikkeling, test en productie. U moet Azure HDInsight-clusters en alle gekoppelde opslagaccounts scheiden per virtueel netwerk/subnet, ze op de juiste wijze taggen en beveiligen binnen een NSG of Azure Firewall. Clustergegevens bevatten binnen een beveiligd Azure Storage-account of Azure Data Lake Storage (Gen1 of Gen2).

• Opslagopties kiezen voor uw Azure HDInsight-cluster

• Azure Data Lake Storage beveiligen

• Azure Storage-accounts beveiligen

Verantwoordelijkheid: Klant

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Voor Azure HDInsight-clusters die gevoelige informatie opslaan of verwerken, markeert u het cluster en de gerelateerde resources als gevoelig met behulp van tags. Om het risico op gegevensverlies via exfiltratie te verminderen, beperkt u uitgaand netwerkverkeer voor Azure HDInsight-clusters met behulp van Azure Firewall.

HDInsight biedt geen ondersteuning voor automatische bewaking voor onbevoegde overdracht van gevoelige gegevens.

Voor het onderliggende platform dat Door Microsoft wordt beheerd, behandelt Microsoft alle klantinhoud als gevoelig. Microsoft gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

• Uitgaand verkeer voor Azure HDInsight-clusters beperken met Azure Firewall

• Informatie over beveiliging van klantgegevens in Azure

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: HDInsight ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure HDInsight-cluster of clustergegevensarchieven (Azure Storage-accounts of Azure Data Lake Storage Gen1/Gen2) tls 1.2 of hoger kunnen onderhandelen. Microsoft Azure-resources onderhandelen standaard over TLS 1.2.

Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

• Inzicht in versleuteling tijdens overdracht met Azure

• Informatie over TLS-beveiliging

• Dubbele versleuteling voor Azure-gegevens die onderweg zijn

• Inzicht in Azure Data Lake Storage versleuteling tijdens overdracht

• Inzicht in Azure Storage-accountversleuteling tijdens overdracht

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Als u Azure SQL Database gebruikt om Apache Hive- en Apache Oozie-metagegevens op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.

HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:

• Server Side Encryption (SSE) - SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt om besturingssysteemschijven en gegevensschijven te versleutelen. Deze functie is standaard ingeschakeld. SSE is een laag 1-versleutelingsservice.

• Versleuteling op host met behulp van door het platform beheerde sleutel: dit type versleuteling wordt uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op host is ook een laag 1-versleutelingsservice.

• Versleuteling at rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Deze functie is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel opgeeft via Azure Key Vault. Versleuteling-at-rest is een laag 2-versleutelingsservice.

• Dubbele versleuteling van Azure HDInsight voor data-at-rest

• Versleutelingssleutels beheren voor Azure Storage-accounts

• Azure Data Lake Storage maken met behulp van door de klant beheerde versleutelingssleutels

• Transparent Data Encryption configureren voor SQL Database met behulp van door de klant beheerde sleutels

Verantwoordelijkheid: Gedeeld

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Bewaking van beveiligingsrisico's kan de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team, afhankelijk van hoe u verantwoordelijkheden structureert. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op de hoofdbeheergroep van een hele tenant, of bereikmachtigingen voor specifieke beheergroepen of abonnementen.

• Overzicht van rol Beveiligingslezer

• Overzicht van Azure-beheergroepen

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals HDInsight. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. Wijs ze leestoegang toe aan alle HDInsight-resources. U kunt het proces vereenvoudigen met behulp van één roltoewijzing op hoog niveau binnen uw abonnement.

Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

• Query's maken met Azure Resource Graph Explorer

• Zie de handleiding voor het benoemen en taggen van resources voor meer informatie over het taggen van assets

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken om waarschuwingen te activeren wanneer ze een niet-goedgekeurde service detecteren.

• Azure Policy configureren en beheren

• Een specifiek resourcetype weigeren met Azure Policy

• Query's maken met Azure Resource Graph Explorer

Verantwoordelijkheid: Klant

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources, zoals compute, opslag, netwerk, poorten, protocollen, enzovoort, waaronder Azure HDInsight-clusters, binnen uw abonnementen. Verwijder niet-goedgekeurde Azure-resources die u detecteert. Implementeer voor Azure HDInsight-clusterknooppunten een oplossing van derden om niet-goedgekeurde software te verwijderen of te waarschuwen.

• Query's maken met Azure Resource Graph

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Azure HDInsight biedt geen systeemeigen ondersteuning voor Defender, maar maakt gebruik van ClamAV. Wanneer u echter de ESP voor HDInsight gebruikt, kunt u een aantal van de ingebouwde mogelijkheden voor detectie van bedreigingen van Microsoft Defender for Cloud gebruiken. U kunt Microsoft Defender ook inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.

Stuur logboeken van HDInsight door naar uw SIEM, die kunnen worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt voor mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen die analisten kunnen sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

• Beveiliging tegen bedreigingen in Microsoft Defender voor Cloud

• Naslaghandleiding voor waarschuwingen voor Microsoft Defender for Cloud-beveiligingswaarschuwingen

• Aangepaste regels maken voor het detecteren van bedreigingen

• Cyber bedreigingsinformatie met Microsoft Sentinel

• Een Azure HDInsight-cluster onboarden naar Azure Monitor

• Bewaarperiode voor Log Analytics-werkruimte configureren

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Microsoft Defender voor Cloud gebruiken en aanbevelingen voor netwerkbeveiliging herstellen voor het virtuele netwerk, subnet en NSG die worden gebruikt om uw Azure HDInsight-cluster te beveiligen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een Azure Storage-account om verkeerscontroles te ondersteunen. U kunt ook NSG-stroomlogboeken verzenden naar een Azure Log Analytics-werkruimte en Azure Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen die Azure Traffic Analytics biedt, zijn de mogelijkheid om:

• Visualiseer netwerkactiviteit en identificeer hot spots.

• Beveiligingsrisico's identificeren.

• Inzicht in verkeersstroompatronen

• Foutieve netwerkconfiguraties aanwijzen.

HDInsight registreert al het netwerkverkeer dat wordt verwerkt voor klanttoegang. Schakel de netwerkstroommogelijkheid in uw geïmplementeerde aanbiedingsbronnen in.

• Stroomlogboeken voor netwerkbeveiligingsgroepen inschakelen

• logboeken en metrische gegevens Azure Firewall

• Traffic Analytics inschakelen en gebruiken

• Bewaking met Network Watcher

• Bewakingsoplossingen voor Azure-netwerken in Azure Monitor

• Azure Monitor-logboeken gebruiken om HDInsight-clusters te bewaken

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, bewerkingen voor uw HDInsight-resources, behalve leesbewerkingen (GET). U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers in uw organisatie resources hebben gewijzigd.

Azure-resourcelogboeken inschakelen voor HDInsight. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

HDInsight produceert ook beveiligingscontrolelogboeken voor de lokale beheeraccounts. Schakel deze lokale auditlogboeken voor beheerders in.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Informatie over logboekregistratie en verschillende logboektypen in Azure

• Informatie over het verzamelen van gegevens in Microsoft Defender for Cloud

• Een Azure HDInsight-cluster onboarden naar Azure Monitor

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Centraliseer logboekopslag voor uw HDInsight-resources voor analyse. Zorg ervoor dat u voor elke logboekbron het volgende hebt:

• Een toegewezen gegevenseigenaar

• Toegangsrichtlijnen

• Opslaglocatie

• De hulpprogramma's die u gebruikt om de gegevens te verwerken en te openen

• Vereisten voor gegevensretentie

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie.

Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die eindpuntapparaten, netwerkresources en andere beveiligingssystemen genereren. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren.

Gebruik Azure Storage-accounts voor langetermijn- en archiveringsopslag.

Gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. Veel organisaties gebruiken Microsoft Sentinel voor 'dynamische' gegevens die ze vaak gebruiken en Azure Storage voor 'koude' gegevens die ze minder vaak gebruiken.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Microsoft Sentinel onboarden

• Een Azure HDInsight-cluster onboarden naar Azure Monitor

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat alle opslagaccounts of Log Analytics-werkruimten die u gebruikt om HDInsight-logboeken op te slaan, logboekretentieperioden hebben ingesteld volgens de nalevingsregels van uw organisatie.

• Bewaarperiode voor Log Analytics-werkruimte configureren

• Resourcelogboeken opslaan in een Azure Storage-account

• Een Azure HDInsight-cluster onboarden naar Azure Monitor

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor de meeste PaaS- en SaaS-services van Het Azure-platform. Gebruik voor uw VM's een microsoft-standaardserver voor netwerktijdprotocol (NTP) voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server moet opstaan, moet u ervoor zorgen dat u de UDP-servicepoort 123 beveiligt. Alle logboeken die worden gegenereerd door resources in Azure bieden tijdstempels met de standaard opgegeven tijdzone.

• Tijdsynchronisatie configureren voor Azure Windows-rekenresources

• Tijdsynchronisatie configureren voor Azure Linux-rekenresources

• Inkomende UDP uitschakelen voor Azure-services

Verantwoordelijkheid: Gedeeld

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.HDInsight om aangepast beleid te maken. Configureer het beleid om de netwerkconfiguratie van uw HDInsight-cluster te controleren of af te dwingen.

Als u een Rapid7-, Qualys- of ander abonnement op het platform voor beveiligingsproblemen hebt, hebt u opties. U kunt scriptacties gebruiken om agents voor evaluatie van beveiligingsproblemen te installeren op uw Azure HDInsight-clusterknooppunten en de knooppunten te beheren via de respectieve portal.

Met Azure HDInsight ESP kunt u Apache Ranger gebruiken om gedetailleerd toegangsbeheer en beleid voor gegevensverhulzing te maken en te beheren. U kunt dit doen voor uw gegevens die zijn opgeslagen in:

• Bestanden

• Mappen

• Databases

• Tables

• Rijen

• Kolommen

De Hadoop-beheerder kan Azure RBAC configureren om Apache Hive, HBase, Kafka en Spark te beveiligen met behulp van deze invoegtoepassingen in Apache Ranger.

• Zelfstudie: Beleidsregels voor het afdwingen van naleving maken en beheren

• Rapid7-agent handmatig installeren

• Qualys Agent handmatig installeren

• Scriptacties gebruiken

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren indien niet aanwezig] om beveiligde instellingen af te dwingen voor uw Azure HDInsight-clusters en gerelateerde resources.

• Azure Policy configureren en beheren

• Inzicht in Azure Policy effecten

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Ubuntu-installatiekopieën worden beschikbaar voor het maken van een nieuw Azure HDInsight-cluster binnen drie maanden na publicatie. Actieve clusters worden niet automatisch gepatcht. Klanten moeten scriptacties of andere mechanismen gebruiken om een actief cluster te patchen. Als best practice kunt u deze scriptacties uitvoeren en beveiligingsupdates toepassen direct na het maken van het cluster

Gebruik Microsoft Defender voor Cloud en Azure Policy om beveiligde configuraties op alle rekenresources, waaronder VM's, containers en andere, tot stand te brengen.

• Aanbevelingen voor Microsoft Defender for Cloud bewaken

• Het patchschema voor het besturingssysteem configureren voor HDInsight-clusters op basis van Linux

Verantwoordelijkheid: Klant

PV-4: Veilige configuraties ondersteunen voor rekenresources

Richtlijnen: Installatiekopieën van azure HDInsight-besturingssystemen die worden beheerd en onderhouden door Microsoft. U bent echter verantwoordelijk voor het implementeren van de statusconfiguratie op besturingssysteemniveau voor die installatiekopieën.

Gebruik Microsoft Defender voor Cloud en Azure Policy om regelmatig configuratierisico's op Azure-rekenresources te beoordelen en op te lossen, waaronder VM's en containers. U kunt deze resources ook gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden die uw organisatie nodig heeft:

• Arm-sjablonen (Azure Resource Manager).

• Aangepaste installatiekopieën van besturingssystemen.

• Azure Automation statusconfiguratie.

Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen voldoen aan beveiligingsvereisten en deze te onderhouden.

• Aanbevelingen voor evaluatie van beveiligingsproblemen in Microsoft Defender for Cloud implementeren

• Een virtuele Azure-machine maken op een ARM-sjabloon

• overzicht van Azure Automation State Configuration

Verantwoordelijkheid: Gedeeld

PV-5: Aangepast besturingssysteem en containerinstallatiekopieën veilig opslaan

Richtlijnen: MET HDInsight kunnen klanten installatiekopieën van besturingssystemen of containerinstallatiekopieën beheren. Gebruik Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën. Gebruik een Azure-Shared Image Gallery om uw installatiekopieën te delen met verschillende gebruikers, service-principals of Azure AD groepen in uw organisatie. Sla containerinstallatiekopieën op in Azure Container Registry en gebruik Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben.

• Inzicht in Azure RBAC

• Inzicht in Azure RBAC voor Container Registry

• Azure RBAC configureren

• overzicht van Shared Image Gallery

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: HDInsight kan een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en webtoepassingen. Wanneer u externe scans uitvoert, gebruikt u geen enkel permanent beheerdersaccount. Overweeg om de JIT-inrichtingsmethodologie voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.

Exporteer, indien nodig, scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn hersteld.

• Rapid7-agent handmatig installeren

• Qualys Agent handmatig installeren

• Scriptacties gebruiken

Verantwoordelijkheid: Klant

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: het uitvoeren van HDInsight-clusters wordt niet automatisch gepatcht. Gebruik alleen scriptacties of andere mechanismen om een actief cluster te patchen. Als best practice kunt u deze scriptacties uitvoeren en beveiligingsupdates toepassen direct na het maken van het cluster.

• Het patchschema voor het besturingssysteem configureren voor Azure HDInsight-clusters op basis van Linux

• Scriptacties gebruiken

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer indien nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid. Gebruik de Red Teaming-strategie en uitvoering van Microsoft. Live sitepenetratietests uitvoeren op basis van door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

• Penetratietesten in Azure

• Regels voor het inzetten van penetratietests

• Microsoft Cloud Red Teaming

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-1: Eindpuntdetectie en -respons gebruiken

Richtlijnen: Azure HDInsight biedt geen systeemeigen ondersteuning voor defender. Het maakt gebruik van ClamAV. Stuur de ClamAV-logboeken door naar een gecentraliseerd SIEM- of ander detectie- en waarschuwingssysteem.

• Inzicht in Clamscan

Verantwoordelijkheid: Klant

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Azure HDInsight wordt geleverd met Clamscan vooraf geïnstalleerd en ingeschakeld voor de installatiekopieën van het clusterknooppunt. U moet de software echter beheren en logboeken die Clamscan produceert handmatig aggregeren/bewaken.

• Inzicht in Clamscan voor Azure HDInsight

Verantwoordelijkheid: Klant

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Azure HDInsight wordt geleverd met Clamscan vooraf geïnstalleerd en ingeschakeld voor de installatiekopieën van het clusterknooppunt. Clamscan voert automatisch engine- en definitie-updates uit en werkt de antimalwarehandtekeningen bij op basis van de officiële virushandtekeningsdatabase van ClamAV.

• Inzicht in Clamscan voor Azure HDInsight

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Als u Azure Key Vault gebruikt met uw Azure HDInsight-implementatie, test u periodiek het herstel van door de klant beheerde sleutels.

• Uw eigen sleutel gebruiken voor Apache Kafka in Azure HDInsight

• Key Vault sleutels herstellen in Azure

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Als u Azure Key Vault gebruikt met uw Azure HDInsight-implementatie, schakelt u voorlopig verwijderen in Key Vault in om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering.

• Voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault inschakelen

Verantwoordelijkheid: Klant

Volgende stappen

• Zie Overzicht Azure Security Benchmark V2
• Meer informatie over Azure-beveiligingsbasislijnen