Punkt odniesienia zabezpieczeń platformy Azure dla usługi HDInsight

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi HDInsight. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi HDInsight.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi HDInsight, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa HDInsight całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi HDInsight.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Zabezpieczenia obwodowe w usłudze Azure HDInsight są osiągane za pośrednictwem sieci wirtualnych. Administrator przedsiębiorstwa może utworzyć klaster w sieci wirtualnej i użyć sieciowej grupy zabezpieczeń w celu ograniczenia dostępu do sieci wirtualnej. Tylko dozwolone adresy IP w regułach przychodzącej sieciowej grupy zabezpieczeń mogą komunikować się z klastrem usługi Azure HDInsight. Ta konfiguracja zapewnia zabezpieczenia obwodowe. Wszystkie klastry wdrożone w sieci wirtualnej również będą miały prywatny punkt końcowy. Punkt końcowy zostanie rozpoznany jako prywatny adres IP wewnątrz Virtual Network. Zapewnia prywatny dostęp HTTP do bram klastra.

Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji, takich jak aplikacja trójwarstwowa, może to być domyślnie wysoce bezpieczna odmowa.

Zazwyczaj wymagane porty we wszystkich typach klastrów:

  • 22–23 — Dostęp SSH do zasobów klastra

  • 443 — Ambari, WebHCat REST API, HiveServer ODBC i JDBC

Aby uzyskać szczegółowe informacje o określonych typach klastrów, zapoznaj się z tym artykułem.

Prywatne klastry usługi HDInsight można tworzyć, konfigurując określone właściwości sieci w szablonie usługi Azure Resource Manager (ARM). Istnieją dwie właściwości używane do tworzenia prywatnych klastrów usługi HDInsight:

  • Usuń publiczne adresy IP, ustawiając połączenie dostawcy zasobów z wychodzącym.

  • Włącz Azure Private Link i używaj prywatnych punktów końcowych, ustawiając parametr PrivateLink na włączony.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówka: Użyj Azure Private Link, aby umożliwić prywatny dostęp do usługi HDInsight z sieci wirtualnych bez przekraczania Internetu. Dostęp prywatny dodaje szczegółową miarę obrony do uwierzytelniania i zabezpieczeń ruchu na platformie Azure.

Odpowiedzialność: Klient

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: Ochrona zasobów usługi HDInsight przed atakami z sieci zewnętrznych. Ataki mogą obejmować:

  • Ataki typu "rozproszona odmowa usługi" (DDoS)

  • Ataki specyficzne dla aplikacji

  • Niechciany i potencjalnie złośliwy ruch internetowy

Użyj Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych. Ochrona zasobów przed atakami DDoS przez włączenie usługi DDoS Protection w warstwie Standardowa w sieciach wirtualnych platformy Azure. Usługa Microsoft Defender for Cloud umożliwia wykrywanie zagrożeń związanych z błędną konfiguracją w zasobach związanych z siecią.

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi Azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci dla zasobów usługi HDInsight w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określ nazwę tagu usługi, taką jak "HDInsight" w odpowiednim polu źródła reguły lub miejsca docelowego, aby zezwolić na ruch usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów, które obejmuje tag usługi, i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby ograniczyć ryzyko typowych ataków, takich jak:

  • Zwisanie dns

  • Ataki wzmacniania DNS

  • Zatrucie i fałszowanie DNS

W przypadku korzystania z usługi Azure DNS jako usługi DNS należy chronić strefy i rekordy DNS przed przypadkowymi lub złośliwymi zmianami przy użyciu usługi Azure Role-Based Access Control (RBAC) i blokad zasobów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa HDInsight używa Azure AD jako domyślnej usługi zarządzania tożsamościami i dostępem. Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :

  • Zasoby w chmurze firmy Microsoft. Zasoby obejmują:

    • Witryna Azure Portal

    • Azure Storage

    • Maszyny wirtualne z systemem Linux i Windows na platformie Azure

    • Azure Key Vault

    • Platforma jako usługa (PaaS)

    • Aplikacje typu oprogramowanie jako usługa (SaaS)

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie Azure AD powinno mieć wysoki priorytet w przypadku praktyki zabezpieczeń w chmurze organizacji. Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który ułatwia porównanie stanu zabezpieczeń tożsamości z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Konfigurowanie klastrów usługi Azure HDInsight przy użyciu pakietu Enterprise Security (ESP). Te klastry można połączyć z domeną, aby użytkownicy mogli używać poświadczeń domeny do uwierzytelniania w klastrach. Trzy główne wbudowane role kontroli dostępu opartej na rolach platformy Azure są dostępne do zarządzania zasobami usługi HDInsight:

  • Czytelnik: dostęp do odczytu do zasobów usługi HDInsight, w tym wpisów tajnych

  • Operator klastra usługi HDInsight: dostęp do odczytu i zapisu do zasobów usługi HDInsight, w tym wpisów tajnych

  • Współautor: dostęp do odczytu i zapisu, w tym wpisów tajnych i możliwość wykonywania akcji skryptu

W przypadku zabezpieczeń na poziomie wiersza można zaimplementować usługę Apache Ranger w celu ustawienia zasad kontroli dostępu dla programu Hive.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: usługa HDInsight obsługuje tożsamości zarządzane dla swoich zasobów platformy Azure. Użyj tożsamości zarządzanych w usłudze HDInsight zamiast tworzyć jednostki usługi w celu uzyskania dostępu do innych zasobów. Usługa HDInsight może natywnie uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Uwierzytelnianie jest obsługiwane za pomocą wstępnie zdefiniowanej reguły udzielania dostępu. Nie używa poświadczeń zakodowanych w kodzie źródłowym ani plikach konfiguracji.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: Użyj brokera identyfikatorów usługi Azure HDInsight, aby zalogować się do klastrów ESP przy użyciu uwierzytelniania wieloskładnikowego bez podawania żadnych haseł. Jeśli zalogowano się już do innych usług platformy Azure, takich jak Azure Portal, możesz zalogować się do klastra usługi Azure HDInsight przy użyciu środowiska logowania jednokrotnego.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Jeśli używasz dowolnego kodu związanego z wdrożeniem usługi Azure HDInsight, możesz zaimplementować skaner poświadczeń w celu zidentyfikowania poświadczeń w kodzie. Skaner poświadczeń zachęci również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak Azure Key Vault.

W przypadku usługi GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inne formy wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Najważniejsze wbudowane role Azure AD są administratorem globalnym i administratorem ról uprzywilejowanych. Użytkownicy z tymi dwoma rolami mogą delegować role administratora.

  • Administrator globalny lub administrator firmy ma dostęp do wszystkich Azure AD funkcji administracyjnych i usług korzystających z tożsamości Azure AD.

  • Administrator ról uprzywilejowanych może zarządzać przypisaniami ról w Azure AD i Azure AD Privileged Identity Management (PIM). Ta rola może zarządzać wszystkimi aspektami usługi PIM i jednostek administracyjnych.

Użyj usługi HDInsight ESP, która ma następujące uprzywilejowane role:

  • Administrator klastra

  • Operator klastra

  • Administrator usługi

  • Operator usługi

  • Użytkownik klastra

Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych. Ogranicz liczbę kont lub ról z wysokim poziomem uprawnień i chroń te konta na podwyższonym poziomie. Użytkownicy z wysokimi uprawnieniami mogą bezpośrednio lub pośrednio odczytywać i modyfikować wszystkie zasoby platformy Azure.

Możesz włączyć uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i Azure AD przy użyciu Azure AD PIM. Funkcja JIT udziela tymczasowych uprawnień do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy tego potrzebują. Usługa PIM może również generować alerty zabezpieczeń dotyczące podejrzanych lub niebezpiecznych działań w organizacji Azure AD.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa HDInsight używa kont Azure AD do zarządzania zasobami. Regularnie przejrzyj konta użytkowników i przypisania dostępu, aby upewnić się, że konta i ich dostęp są prawidłowe. Możesz użyć Azure AD i przeglądów dostępu do przeglądania członkostwa w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również utworzyć przepływy pracy raportów przeglądu dostępu w usłudze Azure AD PIM, aby ułatwić proces przeglądu.

Można skonfigurować Azure AD PIM, aby otrzymywać alerty, gdy istnieje zbyt wiele kont administratorów. Usługa PIM może identyfikować konta administratora, które są nieaktualne lub nieprawidłowo skonfigurowane.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług krytycznych. Do zadań administracyjnych związanych z zarządzaniem zasobami usługi HDInsight należy używać stacji roboczych użytkowników o wysokim poziomie bezpieczeństwa i usługi Azure Bastion.

Użyj Azure AD, usługi Microsoft Defender ATP lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Możesz centralnie zarządzać zabezpieczonymi stacjami roboczymi, aby wymusić konfigurację zabezpieczeń obejmującą następujące elementy:

  • Silne uwierzytelnianie

  • Plany bazowe oprogramowania i sprzętu

  • Ograniczony dostęp logiczny i sieciowy

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

PA-7: Postępuj zgodnie z zasadą najniższych uprawnień wystarczy do administrowania

Wskazówki: usługa HDInsight integruje się z kontrolą dostępu opartą na rolach platformy Azure w celu zarządzania zasobami. Dzięki kontroli dostępu opartej na rolach można zarządzać dostępem do zasobów platformy Azure za pomocą przypisań ról. Role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Niektóre zasoby mają wstępnie zdefiniowane, wbudowane role. Możesz spisać lub wykonywać zapytania dotyczące tych ról za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal.

Ogranicz uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do tego, czego wymagają role. Ta praktyka uzupełnia podejście JIT Azure AD PIM. Okresowo przeglądaj role i przypisania.

Użyj ról wbudowanych, aby nadać uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane. Usługa HDInsight używa platformy Apache Ranger, aby umożliwić bardziej szczegółową kontrolę nad uprawnieniami.

Odpowiedzialność: Klient

PA-8: Wybierz proces zatwierdzania dla pomocy technicznej firmy Microsoft

Wskazówki: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskiwać dostęp do danych klientów, usługa HDInsight obsługuje blokadę klienta. Udostępnia interfejs umożliwiający przeglądanie żądań dostępu do danych klientów i zatwierdzanie ich lub odrzucanie.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Wskazówki: użyj tagów dotyczących zasobów związanych z wdrożeniami usługi Azure HDInsight, aby ułatwić śledzenie zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje. Klasyfikowanie i identyfikowanie poufnych danych przy użyciu usługi Microsoft Purview. Użyj usługi dla wszystkich danych przechowywanych w bazach danych SQL lub kontach usługi Azure Storage skojarzonych z klastrem usługi HDInsight.

W przypadku podstawowej platformy, którą zarządza firma Microsoft, firma Microsoft traktuje całą zawartość klienta jako wrażliwą. Firma Microsoft stara się chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

DP-2: Ochrona poufnych danych

Wskazówki: implementowanie oddzielnych subskrypcji i grup zarządzania na potrzeby programowania, testowania i produkcji. Należy oddzielić klastry usługi Azure HDInsight i wszystkie skojarzone konta magazynu według sieci wirtualnej/podsieci, oznaczyć je odpowiednio i zabezpieczyć je w sieciowej grupie zabezpieczeń lub Azure Firewall. Zawierają dane klastra w zabezpieczonym koncie usługi Azure Storage lub Azure Data Lake Storage (Gen1 lub Gen2).

Odpowiedzialność: Klient

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: w przypadku klastrów usługi Azure HDInsight przechowując lub przetwarzając poufne informacje, oznacz klaster i powiązane zasoby jako poufne przy użyciu tagów. Aby zmniejszyć ryzyko utraty danych za pośrednictwem eksfiltracji, ogranicz ruch sieciowy wychodzący dla klastrów usługi Azure HDInsight przy użyciu Azure Firewall.

Usługa HDInsight nie obsługuje automatycznego monitorowania nieautoryzowanego transferu poufnych danych natywnie.

W przypadku podstawowej platformy, którą zarządza firma Microsoft, firma Microsoft traktuje całą zawartość klienta jako wrażliwą. Firma Microsoft stara się chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: usługa HDInsight obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że wszyscy klienci łączący się z klastrem usługi Azure HDInsight lub magazynami danych klastra (konta usługi Azure Storage lub Azure Data Lake Storage Gen1/Gen2) mogą negocjować protokół TLS 1.2 lub nowszy. Zasoby platformy Microsoft Azure będą domyślnie negocjować protokół TLS 1.2.

Aby uzupełnić mechanizmy kontroli dostępu, chroń dane podczas przesyłania przed atakami typu "poza pasmem", takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe protokoły SSL, TLS, SSH i słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Jeśli używasz usługi Azure SQL Database do przechowywania Apache Hive i metadanych apache Oozie, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i Data Lake Storage (Gen1 lub Gen2) zaleca się umożliwienie firmie Microsoft zarządzania kluczami szyfrowania, jednak możesz zarządzać własnymi kluczami.

Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:

Odpowiedzialność: Współużytkowane

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: upewnij się, że przyznaj zespołom zabezpieczeń uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogli monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

Monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu w zależności od tego, jak strukturę ponosisz. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i zagrożenia centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń można stosować szeroko do głównej grupy zarządzania całej dzierżawy lub uprawnienia zakresu do określonych grup zarządzania lub subskrypcji.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure, na przykład w usłudze HDInsight. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń. Utwórz grupę Azure AD zawierającą autoryzowany zespół ds. zabezpieczeń organizacji. Przypisz im dostęp do odczytu do wszystkich zasobów usługi HDInsight. Proces można uprościć przy użyciu pojedynczego przypisania roli wysokiego poziomu w ramach subskrypcji.

Zastosuj tagi do zasobów platformy Azure, grup zasobów i subskrypcji, aby logicznie zorganizować je w taksonomię. Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Użyj usługi Azure Resource Graph, aby wykonywać zapytania dotyczące zasobów i odnajdywać je w ramach subskrypcji. Możesz również użyć usługi Azure Monitor do tworzenia reguł wyzwalania alertów po wykryciu niezatwierdzonej usługi.

Odpowiedzialność: Klient

AM-6: Używanie tylko zatwierdzonych aplikacji w zasobach obliczeniowych

Wskazówki: używanie usługi Azure Resource Graph do wykonywania zapytań dotyczących wszystkich zasobów, takich jak obliczenia, magazyn, sieć, porty, protokoły itd., w tym klastry usługi Azure HDInsight, w ramach subskrypcji. Usuń wszystkie niezatwierdzone zasoby platformy Azure, które odnajdujesz. W przypadku węzłów klastra usługi Azure HDInsight zaimplementuj rozwiązanie innej firmy w celu usunięcia lub alertu dotyczącego niezatwierdzonego oprogramowania.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: usługa Azure HDInsight nie obsługuje natywnie usługi Defender, korzysta z biblioteki ClamAV. Jednak w przypadku korzystania z usługi ESP dla usługi HDInsight można użyć niektórych wbudowanych funkcji wykrywania zagrożeń w usłudze Microsoft Defender for Cloud. Możesz również włączyć usługę Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.

Przekaż wszystkie dzienniki z usługi HDInsight do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: użyj usługi Microsoft Defender for Cloud i zaradcz zalecenia dotyczące ochrony sieci dla sieci wirtualnej, podsieci i sieciowej grupy zabezpieczeń używanej do zabezpieczania klastra usługi Azure HDInsight. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki na konto usługi Azure Storage w celu obsługi inspekcji ruchu. Możesz również wysłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Azure Log Analytics i użyć usługi Azure Traffic Analytics, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Oto niektóre zalety zapewniane przez usługę Azure Traffic Analytics:

  • Wizualizowanie działań sieciowych i identyfikowanie punktów gorących.

  • Identyfikowanie zagrożeń bezpieczeństwa.

  • Omówienie wzorców przepływu ruchu

  • Wskazuje błędy konfiguracji sieci.

Usługa HDInsight rejestruje cały ruch sieciowy, który przetwarza na potrzeby dostępu klienta. Włącz możliwość przepływu sieciowego w ramach wdrożonych zasobów oferty.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: dzienniki aktywności są dostępne automatycznie. Dzienniki zawierają wszystkie operacje PUT, POST i DELETE, ale nie GET, dla zasobów usługi HDInsight z wyjątkiem operacji odczytu (GET). Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników w organizacji.

Włączanie dzienników zasobów platformy Azure dla usługi HDInsight. Usługi Microsoft Defender for Cloud i Azure Policy można używać do włączania dzienników zasobów i zbierania danych dzienników. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i przeprowadzania ćwiczeń kryminalistycznych.

Usługa HDInsight tworzy również dzienniki inspekcji zabezpieczeń dla lokalnych kont administrowania. Włącz te lokalne dzienniki inspekcji administratora.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówki: Scentralizowanie magazynu rejestrowania dla zasobów usługi HDInsight na potrzeby analizy. Dla każdego źródła dziennika upewnij się, że masz następujące elementy:

  • Przypisany właściciel danych

  • Wskazówki dotyczące dostępu

  • Lokalizacja magazynu

  • Narzędzia używane do przetwarzania i uzyskiwania dostępu do danych

  • Wymagania dotyczące przechowywania danych

Pamiętaj, aby zintegrować dzienniki aktywności platformy Azure z centralnym rejestrowaniem.

Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia końcowe, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy.

Użyj kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.

Włączanie i dołączanie danych do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy. Wiele organizacji używa usługi Microsoft Sentinel do "gorących" danych, których często używają, a usługa Azure Storage do "zimnych" danych, których używają rzadziej.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: upewnij się, że wszystkie konta magazynu lub obszary robocze usługi Log Analytics używane do przechowywania dzienników usługi HDInsight mają ustawione okresy przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: firma Microsoft utrzymuje źródła czasu dla większości usług PaaS i SaaS platformy Azure. W przypadku maszyn wirtualnych użyj domyślnego serwera protokołu czasu sieciowego (NTP) firmy Microsoft na potrzeby synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz wstać własny serwer NTP, upewnij się, że zabezpieczysz port usługi UDP 123. Wszystkie dzienniki generowane przez zasoby na platformie Azure zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.

Odpowiedzialność: Współużytkowane

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.HDInsight", aby utworzyć zasady niestandardowe. Skonfiguruj zasady, aby przeprowadzać inspekcję lub wymuszać konfigurację sieci klastra usługi HDInsight.

Jeśli masz subskrypcję platformy szybkiego zarządzania lukami w zabezpieczeniach Rapid7, Qualys lub inną, masz opcje. Za pomocą akcji skryptu można zainstalować agentów oceny luk w zabezpieczeniach w węzłach klastra usługi Azure HDInsight i zarządzać węzłami za pośrednictwem odpowiedniego portalu.

Korzystając z usługi Azure HDInsight ESP, możesz użyć platformy Apache Ranger do tworzenia szczegółowej kontroli dostępu i zaciemniania danych oraz zarządzania nimi. Możesz to zrobić dla danych przechowywanych w:

  • Pliki

  • Foldery

  • Bazy danych

  • tabelami

  • Rows (Wiersze)

  • Kolumny

Administrator platformy Hadoop może skonfigurować kontrolę dostępu opartą na rolach platformy Azure w celu zabezpieczenia Apache Hive, bazy danych HBase, platformy Kafka i platformy Spark przy użyciu tych wtyczek w usłudze Apache Ranger.

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia dla klastrów usługi Azure HDInsight i powiązanych zasobów.

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Obrazy z systemem Ubuntu stają się dostępne do utworzenia nowego klastra usługi Azure HDInsight w ciągu trzech miesięcy od opublikowania. Uruchamianie klastrów nie jest automatycznie wypełniane. Klienci muszą używać akcji skryptu lub innych mechanizmów w celu stosowania poprawek do uruchomionego klastra. Najlepszym rozwiązaniem jest uruchomienie tych akcji skryptu i zastosowanie aktualizacji zabezpieczeń bezpośrednio po utworzeniu klastra

Użyj usługi Microsoft Defender for Cloud i Azure Policy, aby ustanowić bezpieczne konfiguracje dla wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych, kontenerów i innych.

Odpowiedzialność: Klient

PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Obrazy systemu operacyjnego usługi Azure HDInsight zarządzane i obsługiwane przez firmę Microsoft. Jednak odpowiadasz za implementację konfiguracji stanu na poziomie systemu operacyjnego dla tego obrazu.

Użyj usługi Microsoft Defender dla chmury i Azure Policy, aby regularnie oceniać i korygować ryzyko związane z konfiguracją zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych i kontenerów. Możesz również użyć tych zasobów, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganą przez organizację:

  • Szablony usługi Azure Resource Manager (ARM).

  • Niestandardowe obrazy systemu operacyjnego.

  • Azure Automation konfiguracji stanu.

Szablony maszyn wirtualnych firmy Microsoft połączone z Azure Automation State Configuration mogą pomóc spełnić i zachować wymagania dotyczące zabezpieczeń.

Odpowiedzialność: Współużytkowane

PV-5: Bezpieczne przechowywanie niestandardowych obrazów systemów operacyjnych i kontenerów

Wskazówki: usługa HDInsight umożliwia klientom zarządzanie obrazami systemu operacyjnego lub obrazami kontenerów. Użyj kontroli dostępu opartej na rolach platformy Azure, aby upewnić się, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do obrazów niestandardowych. Usługa Azure Shared Image Gallery umożliwia udostępnianie obrazów różnym użytkownikom, jednostkom usługi lub grupom Azure AD w organizacji. Przechowuj obrazy kontenerów w Azure Container Registry i używaj kontroli dostępu opartej na rolach platformy Azure, aby upewnić się, że tylko autoryzowani użytkownicy mają dostęp.

Odpowiedzialność: Klient

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: usługa HDInsight może używać rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach internetowych. Podczas przeprowadzania skanowania zdalnego nie używaj pojedynczego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.

W razie potrzeby wyeksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki z poprzednimi skanowaniami, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane.

Odpowiedzialność: Klient

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: Uruchamianie klastrów usługi HDInsight nie jest automatycznie wypełniane. Użyj tylko akcji skryptu lub innych mechanizmów, aby zastosować poprawki uruchomionego klastra. Najlepszym rozwiązaniem jest uruchomienie tych akcji skryptu i zastosowanie aktualizacji zabezpieczeń bezpośrednio po utworzeniu klastra.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: Przeprowadzanie testów penetracyjnych lub działań zespołu czerwonego w zasobach platformy Azure zgodnie z potrzebami i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu firmy Microsoft. Czy testy penetracyjne witryny na żywo są przeprowadzane względem zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze.

Odpowiedzialność: Współużytkowane

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktu końcowego

Wskazówki: usługa Azure HDInsight nie obsługuje natywnie usługi Defender. Korzysta z programu ClamAV. Przekaż dzienniki ClamAV do scentralizowanego rozwiązania SIEM lub innego systemu wykrywania i alertów.

Odpowiedzialność: Klient

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: usługa Azure HDInsight jest wstępnie zainstalowana i włączona dla obrazów węzłów klastra. Należy jednak zarządzać oprogramowaniem i ręcznie agregować/monitorować wszystkie utworzone dzienniki Clamscan.

Odpowiedzialność: Klient

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: usługa Azure HDInsight jest wstępnie zainstalowana i włączona dla obrazów węzłów klastra. Clamscan będzie automatycznie wykonywać aktualizacje aparatu i definicji i aktualizować jego sygnatury ochrony przed złośliwym oprogramowaniem na podstawie oficjalnej bazy danych sygnatur wirusa ClamAV.

Odpowiedzialność: Klient

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Jeśli używasz usługi Azure Key Vault we wdrożeniu usługi Azure HDInsight, okresowo testujesz przywracanie kopii zapasowych kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: jeśli używasz usługi Azure Key Vault we wdrożeniu usługi Azure HDInsight, włącz usuwanie nietrwałe w Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki