Azure-beveiligingsbasislijn voor HDInsight
Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op HDInsight. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op HDInsight.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op HDInsight zijn uitgesloten. Als u wilt zien hoe HDInsight volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige hdInsight-toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van HDInsight, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Analyse |
| Klant heeft toegang tot HOST/besturingssysteem | Alleen-lezen |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Perimeterbeveiliging in Azure HDInsight wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk maken en een netwerkbeveiligingsgroep (NSG) gebruiken om de toegang tot het virtuele netwerk te beperken.
Configuratierichtlijnen: Implementeer de service in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.
Opmerking: op basis van uw toepassingen en strategie voor bedrijfssegmentatie kunt u verkeer tussen interne resources beperken of toestaan op basis van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen, zoals een app met drie lagen, kan dit standaard een zeer veilige weigering zijn.
Naslaginformatie: Een virtueel netwerk plannen voor Azure HDInsight
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Perimeterbeveiliging in Azure HDInsight wordt bereikt via virtuele netwerken. Een ondernemingsbeheerder kan een cluster binnen een virtueel netwerk maken en een netwerkbeveiligingsgroep (NSG) gebruiken om de toegang tot het virtuele netwerk te beperken. Alleen de toegestane IP-adressen in de binnenkomende NSG-regels kunnen communiceren met het Azure HDInsight-cluster. Deze configuratie biedt een perimeterbeveiliging. Alle clusters die in een virtueel netwerk zijn geïmplementeerd, hebben ook een privé-eindpunt. Het eindpunt wordt omgezet in een privé-IP-adres binnen de Virtual Network. Het biedt privé-HTTP-toegang tot de clustergateways.
Op basis van uw toepassingen en strategie voor bedrijfssegmentatie kunt u verkeer tussen interne resources beperken of toestaan op basis van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen, zoals een app met drie lagen, kan dit standaard een zeer veilige weigering zijn.
Poorten die over het algemeen vereist zijn voor alle typen clusters:
22-23 - SSH-toegang tot de clusterresources
443 - Ambari, WebHCat REST API, HiveServer ODBC en JDBC
Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG's) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het inkomende verkeer weigeren, maar verkeer van virtuele netwerken en Azure Load Balancers toestaan.
Naslaginformatie: Netwerkverkeer beheren in Azure HDInsight
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruik Azure Private Link om privétoegang tot HDInsight vanuit uw virtuele netwerken in te schakelen zonder internet te hoeven oversteken. Privétoegang voegt een diepgaande verdedigingsmaatregel toe aan Azure-verificatie en verkeersbeveiliging.
Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die de functie Private Link ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Opmerking: gebruik Azure Private Link om privétoegang tot HDInsight vanuit uw virtuele netwerken in te schakelen zonder internet te hoeven gebruiken. Privétoegang voegt een diepgaande verdedigingsmaatregel toe aan Azure-verificatie en verkeersbeveiliging.
Naslaginformatie: Private Link inschakelen op een HDInsight-cluster
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: Openbare connectiviteit beperken in Azure HDInsight
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Overzicht van bedrijfsbeveiliging in Azure HDInsight
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: wanneer een HDI-cluster wordt gemaakt, worden er twee lokale beheerdersaccounts gemaakt in het gegevensvlak (Apache Ambari). Een die overeenkomt met de gebruiker waarvoor de referentie wordt doorgegeven door de maker van het cluster. De andere wordt gemaakt door het HDI-besturingsvlak. Het HDI-besturingsvlak gebruikt dit account om gegevensvlak-aanroepen te doen. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-7: toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlakken kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-8: beperk de blootstelling van referenties en geheimen
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Bevoegde toegang
Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: wanneer een HDI-cluster wordt gemaakt, worden er twee lokale beheerdersaccounts gemaakt in het gegevensvlak (Apache Ambari). Een die overeenkomt met de gebruiker waarvoor de referentie wordt doorgegeven door de maker van het cluster. De andere wordt gemaakt door het HDI-besturingsvlak. Het HDI-besturingsvlak gebruikt dit account om gegevensvlak-aanroepen te doen. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: gegevensvlak ondersteunt alleen rollen op basis van Ambari. Fijnkorrelige ACL wordt gedaan via Ranger.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot klantgegevens, ondersteunt HDInsight Customer Lockbox. Het biedt een interface voor u om aanvragen voor toegang tot klantgegevens te controleren en deze goed te keuren of af te wijzen.
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor toegang tot gegevens van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Naslaginformatie: Customer Lockbox for Microsoft Azure
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruik tags voor resources die betrekking hebben op uw Azure HDInsight-implementaties om Azure-resources bij te houden die gevoelige informatie opslaan of verwerken. Gevoelige gegevens classificeren en identificeren met Microsoft Purview. Gebruik de service voor alle gegevens die zijn opgeslagen in SQL-databases of Azure Storage-accounts die zijn gekoppeld aan uw HDInsight-cluster.
Voor het onderliggende platform, dat Door Microsoft wordt beheerd, behandelt Microsoft alle inhoud van klanten als gevoelig. Microsoft doet er alles aan om u te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een pakket robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.
Configuratierichtlijnen: Gebruik hulpprogramma's zoals Azure Purview, Azure Information Protection en Azure SQL Gegevensdetectie en -classificatie om gevoelige gegevens centraal te scannen, classificeren en labelen in Azure, on-premises, Microsoft 365 of andere locaties.
Naslaginformatie: Azure-klantgegevensbescherming
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Functieopmerkingen: HDInsight ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure HDInsight-cluster of clustergegevensarchieven (Azure Storage-accounts of Azure Data Lake Storage Gen1/Gen2) kunnen onderhandelen over TLS 1.2 of hoger. Microsoft Azure-resources onderhandelen standaard over TLS 1.2.
Als aanvulling op toegangscontroles moet u gegevens tijdens overdracht beveiligen tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.
Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.
Configuratierichtlijnen: veilige overdracht inschakelen in services waarbij een ingebouwde functie voor versleuteling van gegevens in transit is ingebouwd. HTTPS afdwingen op webtoepassingen en -services en ervoor zorgen dat TLS v1.2 of hoger wordt gebruikt. Verouderde versies, zoals SSL 3.0, TLS v1.0, moeten worden uitgeschakeld. Voor extern beheer van Virtual Machines gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Opmerking: HDInsight ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure HDInsight-cluster of clustergegevensarchieven (Azure Storage-accounts of Azure Data Lake Storage Gen1/Gen2) kunnen onderhandelen over TLS 1.2 of hoger. Microsoft Azure-resources onderhandelen standaard over TLS 1.2.
Als aanvulling op toegangscontroles moet u gegevens tijdens overdracht beveiligen tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.
Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.
Azure biedt standaard versleuteling voor gegevens die worden overgedragen tussen Azure-datacenters.
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Functieopmerkingen: Als u Azure SQL Database gebruikt om metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
Versleuteling aan serverzijde (SSE): SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt voor het versleutelen van besturingssysteemschijven en gegevensschijven. Dit is standaard ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op de host met behulp van door het platform beheerde sleutel: net als bij SSE wordt dit type versleuteling uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Het is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Configuratierichtlijnen: Schakel data-at-rest-versleuteling in met behulp van door het platform beheerde (Door Microsoft beheerde) sleutels, waarbij deze niet automatisch door de service worden geconfigureerd.
Opmerking: als u Azure SQL Database gebruikt om metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
Versleuteling aan serverzijde (SSE): SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt voor het versleutelen van besturingssysteemschijven en gegevensschijven. Dit is standaard ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op de host met behulp van door het platform beheerde sleutel: net als bij SSE wordt dit type versleuteling uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Het is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Naslaginformatie: Azure HDInsight dubbele versleuteling voor data-at-rest
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Functieopmerkingen: Als u Azure SQL Database gebruikt om metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
Versleuteling aan serverzijde (SSE): SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt voor het versleutelen van besturingssysteemschijven en gegevensschijven. Dit is standaard ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op de host met behulp van door het platform beheerde sleutel: net als bij SSE wordt dit type versleuteling uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Het is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Opmerking: als u Azure SQL Database gebruikt om metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
Versleuteling aan serverzijde (SSE): SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt voor het versleutelen van besturingssysteemschijven en gegevensschijven. Dit is standaard ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op de host met behulp van door het platform beheerde sleutel: net als bij SSE wordt dit type versleuteling uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Het is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Naslaginformatie: Azure HDInsight dubbele versleuteling voor data-at-rest
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Functieopmerkingen: Als u Azure SQL Database gebruikt om metagegevens van Apache Hive en Apache Oozie op te slaan, moet u ervoor zorgen dat SQL-gegevens altijd versleuteld blijven. Voor Azure Storage-accounts en Data Lake Storage (Gen1 of Gen2) is het raadzaam om Microsoft toe te staan uw versleutelingssleutels te beheren, maar u kunt uw eigen sleutels beheren.
HDInsight ondersteunt meerdere typen versleuteling in twee verschillende lagen:
Versleuteling aan serverzijde (SSE): SSE wordt uitgevoerd door de opslagservice. In HDInsight wordt SSE gebruikt voor het versleutelen van besturingssysteemschijven en gegevensschijven. Dit is standaard ingeschakeld. SSE is een laag 1-versleutelingsservice.
Versleuteling op de host met behulp van door het platform beheerde sleutel: net als bij SSE wordt dit type versleuteling uitgevoerd door de opslagservice. Het is echter alleen voor tijdelijke schijven en is niet standaard ingeschakeld. Versleuteling op host is ook een laag 1-versleutelingsservice.
Versleuteling-at-rest met behulp van door de klant beheerde sleutel: dit type versleuteling kan worden gebruikt op gegevens en tijdelijke schijven. Het is niet standaard ingeschakeld en vereist dat de klant zijn eigen sleutel via Azure Key Vault opgeeft. Versleuteling-at-rest is een laag 2-versleutelingsservice.
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Opmerking: als u Azure Key Vault gebruikt met uw Azure HDInsight-implementatie, test u regelmatig het herstel van door de klant beheerde sleutels waarvan een back-up is gemaakt.
Naslaginformatie: Azure HDInsight dubbele versleuteling voor data-at-rest
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Azure HDInsight dubbele versleuteling voor data-at-rest
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruik Azure Policy aliassen in de naamruimte 'Microsoft.HDInsight' om aangepast beleid te maken. Configureer het beleid om de netwerkconfiguratie van uw HDInsight-cluster te controleren of af te dwingen.
Als u een abonnement hebt op Rapid7, Qualys of een ander platform voor het beheer van beveiligingsproblemen, hebt u opties. U kunt scriptacties gebruiken om agents voor evaluatie van beveiligingsproblemen te installeren op uw Azure HDInsight-clusterknooppunten en de knooppunten te beheren via de respectieve portal.
Met Azure HDInsight ESP kunt u Apache Ranger gebruiken voor het maken en beheren van verfijnde beleidsregels voor toegangsbeheer en gegevensverhulding. U kunt dit doen voor uw gegevens die zijn opgeslagen in: Bestanden/Mappen/Databases/Tabellen/Rijen/Kolommen.
De Hadoop-beheerder kan Azure RBAC configureren om Apache Hive, HBase, Kafka en Spark te beveiligen met behulp van deze invoegtoepassingen in Apache Ranger.
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.
Naslaginformatie: Azure Policy ingebouwde definities voor Azure HDInsight
AM-5: Alleen goedgekeurde toepassingen in virtuele machine gebruiken
Functies
Microsoft Defender for Cloud - Adaptieve toepassingsregelaars
Beschrijving: de service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender voor cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Opmerkingen bij de functie: Azure HDInsight biedt geen systeemeigen ondersteuning voor Defender; het maakt echter wel gebruik van ClamAV. Wanneer u de ESP voor HDInsight gebruikt, kunt u bovendien een aantal van de ingebouwde Microsoft Defender voor Cloud-detectie van bedreigingen gebruiken. U kunt ook Microsoft Defender inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, voor uw HDInsight-resources, met uitzondering van leesbewerkingen (GET). U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers in uw organisatie resources hebben gewijzigd.
Schakel Azure-resourcelogboeken in voor HDInsight. U kunt Microsoft Defender for Cloud en Azure Policy gebruiken om het verzamelen van resourcelogboeken en logboekgegevens in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.
HDInsight produceert ook auditlogboeken voor beveiliging voor de lokale beheeraccounts. Schakel deze auditlogboeken voor lokale beheerders in.
Configuratierichtlijnen: schakel resourcelogboeken in voor de service. Key Vault ondersteunt bijvoorbeeld aanvullende resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of en Azure SQL resourcelogboeken heeft waarmee aanvragen naar een database worden bijgehouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Logboeken voor een HDInsight-cluster beheren
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft Cloud Security Benchmark: Posture and vulnerability management (Postuur en beheer van beveiligingsproblemen) voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kunnen worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Installatiekopieën van azure HDInsight-besturingssystemen worden beheerd en onderhouden door Microsoft. De klant is echter verantwoordelijk voor het implementeren van de statusconfiguratie op besturingssysteemniveau voor die installatiekopieën. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen voldoen aan beveiligingsvereisten en deze te onderhouden.
Configuratierichtlijnen: gebruik Azure Automation State Configuration om de beveiligingsconfiguratie van het besturingssysteem te onderhouden.
Naslaginformatie: overzicht van Azure Automation State Configuration
Azure Policy-agent voor gastconfiguratie
Beschrijving: Azure Policy gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Inzicht in de functie voor machineconfiguratie van Azure Automanage
Aangepaste VM-installatiekopieën
Beschrijving: de service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën van de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Installatiekopieën van aangepaste containers
Beschrijving: De service ondersteunt het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën van de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met behulp van Microsoft Defender
Beschrijving: de service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor cloud- of andere Microsoft Defender services die zijn ingesloten in de evaluatie van beveiligingsproblemen (inclusief Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure HDInsight biedt geen systeemeigen ondersteuning voor Microsoft Defender voor evaluatie van beveiligingsproblemen, maar maakt gebruik van ClamAV voor malwarebeveiliging. Wanneer u echter esp voor HDInsight gebruikt, kunt u een aantal van de Microsoft Defender voor cloudfunctie voor ingebouwde detectie van bedreigingen gebruiken. U kunt ook Microsoft Defender inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.
Stuur logboeken van HDInsight door naar uw SIEM, die kunnen worden gebruikt voor het instellen van aangepaste detecties van bedreigingen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven voor analisten te verminderen. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.
Configuratierichtlijnen: volg de aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers.
Opmerking: Azure HDInsight biedt geen systeemeigen ondersteuning voor Defender, maar maakt gebruik van ClamAV. Wanneer u echter esp voor HDInsight gebruikt, kunt u een aantal van de Microsoft Defender voor cloudfunctie voor ingebouwde detectie van bedreigingen gebruiken. U kunt ook Microsoft Defender inschakelen voor uw VM's die zijn gekoppeld aan HDInsight.
Stuur logboeken van HDInsight door naar uw SIEM, die kunnen worden gebruikt voor het instellen van aangepaste detecties van bedreigingen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven voor analisten te verminderen. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.
PV-6: Beveiligingsproblemen snel en automatisch oplossen
Functies
Azure Automation-updatebeheer
Beschrijving: service kan Azure Automation Updatebeheer gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Opmerkingen bij de functie: Binnen drie maanden na publicatie komen Ubuntu-installatiekopieën beschikbaar voor het maken van een nieuw Azure HDInsight-cluster. Actieve clusters worden niet automatisch gepatcht. Klanten moeten scriptacties of andere mechanismen gebruiken om een actief cluster te patchen. Als best practice kunt u deze scriptacties uitvoeren en beveiligingsupdates toepassen direct nadat het cluster is gemaakt.
Configuratierichtlijnen: gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates worden geïnstalleerd op uw Windows- en Linux-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en ingesteld op automatisch bijwerken.
Opmerking: Ubuntu-installatiekopieën worden binnen drie maanden na publicatie beschikbaar voor het maken van een nieuw Azure HDInsight-cluster. Actieve clusters worden niet automatisch gepatcht. Klanten moeten scriptacties of andere mechanismen gebruiken om een actief cluster te patchen. Als best practice kunt u deze scriptacties uitvoeren en beveiligingsupdates toepassen direct nadat het cluster is gemaakt.
Naslaginformatie: Overzicht van Updatebeheer
Eindpuntbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Eindpuntbeveiliging voor meer informatie.
ES-1: Endpoint Detection and Response (EDR) gebruiken
Functies
EDR-oplossing
Beschrijving: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij de functie: Azure HDInsight biedt geen systeemeigen ondersteuning voor Microsoft Defender voor Eindpunt, maar maakt gebruik van ClamAV voor malwarebeveiliging.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Kan ik uitschakelen Clamscan op mijn cluster?
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: Antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt op het eindpunt kunnen worden geïmplementeerd. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Azure HDInsight maakt gebruik van ClamAV. De ClamAV-logboeken doorsturen naar een gecentraliseerd SIEM- of ander detectie- en waarschuwingssysteem.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Beveiliging en certificaten
ES-3: Zorg ervoor dat antimalwaresoftware en -handtekeningen zijn bijgewerkt
Functies
Statuscontrole van antimalwareoplossing
Beschrijving: Antimalware-oplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij de functie: Azure HDInsight wordt geleverd met Clamscan die vooraf is geïnstalleerd en ingeschakeld voor de installatiekopieën van het clusterknooppunt. Clamscan voert engine- en definitie-updates automatisch uit en werkt de antimalwarehandtekeningen bij op basis van de officiële database voor virushandtekeningen van ClamAV.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Beveiliging en certificaten
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: HBase Export en HBase Replication zijn veelgebruikte manieren om bedrijfscontinuïteit tussen HDInsight HBase-clusters mogelijk te maken.
HBase Export is een batchreplicatieproces dat gebruikmaakt van het HBase Export Utility om tabellen te exporteren van het primaire HBase-cluster naar de onderliggende Azure Data Lake Storage Gen 2-opslag. De geëxporteerde gegevens kunnen vervolgens worden geopend vanuit het secundaire HBase-cluster en worden geïmporteerd in tabellen die al in de secundaire cluster moeten bestaan. Hoewel HBase Export granulariteit op tabelniveau biedt, bepaalt de exportautomatiseringsengine in situaties met incrementele updates het bereik van incrementele rijen dat in elke uitvoering moet worden opgenomen.
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Back-up en replicatie instellen voor Apache HBase en Apache Phoenix in HDInsight
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen