Базовый план обеспечения безопасности Azure для HDInsight

Этот базовый план безопасности позволяет применить рекомендации Azure Security Benchmark 2.0 к HDInsight. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к HDInsight.

Если функция имеет соответствующие Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к HDInsight, и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о полном соответствии HDInsight с Azure Security Benchmark, см. в полном файле соответствия базового плана безопасности HDInsight.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Инструкции. Безопасность периметра в Azure HDInsight обеспечивается за счет виртуальных сетей. Корпоративный администратор может создать кластер в виртуальной сети и ограничить к ней доступ с помощью групп безопасности сети (NSG). Для обмена данными с кластером Azure HDInsight допускаются только IP-адреса, включенные в правила NSG для входящего трафика. Эта конфигурация обеспечивает безопасность периметра. Все кластеры, развернутые в виртуальной сети, имеют также частную конечную точку. Конечная точка будет разрешаться в частный IP-адрес внутри виртуальной сети. Она предоставляет частный доступ по протоколу HTTP к шлюзам кластера.

В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию".

Порты, которые обычно требуются для всех типов кластеров:

  • 22–23 — доступ по протоколу SSH к ресурсам кластера;

  • 443 — Ambari, REST API WebHCat, HiveServer ODBC и JDBC.

Дополнительные сведения о конкретных типах кластеров см. в этой статье.

Можно создать частные кластеры HDInsight, настроив определенные свойства сети в шаблоне Azure Resource Manager (ARM). Для создания частных кластеров HDInsight можно использовать два свойства:

  • удалить общедоступные IP-адреса, настроив подключение к поставщику ресурсов как исходящее;

  • включить Приватный канал Azure и использовать частные конечные точки, включив параметр PrivateLink.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Руководство. Используйте Приватный канал Azure для разрешения частного доступа к HDInsight из ваших виртуальных сетей без перехода в Интернет. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.

Ответственность: Customer

NS-4: защита приложений и служб от внешних сетевых атак

Руководство. Защитите ресурсы HDInsight от атак из внешних сетей. Атаки могут включать:

  • Распределенные атаки типа "отказ в обслуживании" (DDoS).

  • Атаки на конкретные приложения.

  • Нежелательный, потенциально вредоносный интернет-трафик.

Воспользуйтесь Брандмауэром Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений. Защитите свои ресурсы от распределенных атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS. Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Ответственность: Customer

NS-6: упрощение правил безопасности сети

Руководство. Используйте теги службы виртуальной сети Azure для определения элементов управления сетевым доступом для ресурсов HDInsight в группах безопасности сети или Брандмауэра Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Укажите имя тега службы, например "HDInsight", в соответствующем исходном поле или поле назначения правила, чтобы разрешить или запретить трафик для службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Руководство. Следуйте рекомендациям по безопасности DNS для уменьшения риска таких распространенных атак, как:

  • висячие записи DNS;

  • атаки с усилением DNS;

  • подмена и спуфинг DNS.

Если в качестве службы DNS используется Azure DNS, убедитесь в том, что зоны и записи DNS защищены от случайного или вредоносного изменения с помощью управления доступом на основе ролей (RBAC) Azure и блокировки ресурсов.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Руководство. HDInsight использует Azure AD в качестве службы управления идентификацией и доступом по умолчанию. Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • Виртуальные машины Azure Linux и Windows

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Настройте кластеры Azure HDInsight с помощью Корпоративного пакета безопасности (ESP). Эти кластеры можно подключить к домену, чтобы пользователи могли проходить проверку подлинности в кластерах с помощью своих учетных данных домена. Для управления ресурсами HDInsight доступны три основные встроенные роли Azure RBAC:

  • читатель — доступ на чтение к ресурсам HDInsight, включая секреты;

  • оператор кластера HDInsight — доступ на чтение и запись к ресурсам HDInsight, включая секреты;

  • участник — доступ на чтение и запись, в том числе к секретам, и возможность выполнять скрипты.

Для обеспечения безопасности на уровне строк можно реализовать Apache Ranger, чтобы настроить политики управления доступом для Hive.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. HDInsight поддерживает управляемые удостоверения для ресурсов Azure. Вместо создания субъектов-служб для доступа к другим ресурсам используйте управляемые удостоверения с HDInsight. HDInsight может выполнять проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Проверка подлинности поддерживается посредством предопределенных правил предоставления доступа. При этом не используются учетные данные, жестко заданные в исходном коде или файлах конфигурации.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Руководство. Использование Брокера удостоверений Azure HDInsight для входа в кластеры ESP с помощью многофакторной проверки подлинности без предоставления паролей. Если вы уже вошли в другие службы Azure, например на портал Azure, войти в кластер Azure HDInsight можно с помощью единого входа.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Инструкции. При использовании любого кода, связанного с развертыванием Azure HDInsight, можно реализовать сканер учетных данных, чтобы указать учетные данные в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать возможность проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Наиболее критически важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей". Пользователи с этими двумя ролями могут делегировать роли администратора.

  • Глобальный администратор и Администратор организации имеют права доступа ко всем функциям администрирования Azure AD, а также к службам, использующим удостоверения Azure AD.

  • Администратор привилегированных ролей может управлять назначениями ролей в Azure AD и в Azure AD Privileged Identity Management (PIM). Эта роль может управлять всеми аспектами PIM и административными подразделениями.

Используйте кластер HDInsight ESP, в котором есть следующие привилегированные роли:

  • администратор кластера;

  • оператор кластера;

  • Администратор служб

  • оператор службы;

  • пользователь кластера.

Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Необходимо ограничить количество учетных записей и ролей с высоким уровнем привилегий и защитить эти учетные записи на более высоком уровне. Пользователи с высоким уровнем привилегий имеют прямые или непрямые разрешения для чтения и изменения всех ресурсов Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD PIM. JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. Для управления ресурсами HDInsight использует учетные записи Azure AD. Регулярно просматривайте учетные записи пользователей и назначение доступа, чтобы убедиться в том, что учетные записи и их доступ являются действующими. Используя средства Azure AD и проверку доступа, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете создавать рабочие процессы получения отчетов о проверке доступа в Azure AD PIM для упрощения процесса проверки.

Можно настроить Azure AD PIM для отправки оповещений при обнаружении слишком большого числа учетных записей администраторов. Система PIM может определять устаревшие или неправильно настроенные учетные записи администратора.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Руководство. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Используйте высокозащищенные рабочие станции пользователей и Бастион Azure для выполнения административных задач, связанных с управлением ресурсами HDInsight.

Чтобы развернуть защищенную и управляемую рабочую станцию для административных задач, используйте Azure AD, Microsoft Defender ATP или Microsoft Intune. Вы можете централизованно управлять защищенными рабочими станциями для принудительного применения конфигурации безопасности, которая включает:

  • Строгая проверка подлинности

  • Базовые показатели программного обеспечения и оборудования

  • Ограниченный логический и сетевой доступ

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Руководство. Интеграция HDInsight с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Вы можете выполнять инвентаризацию этих ролей или запрашивать их с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться возможностями, которые необходимы ролям. Эта практика дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.

Используйте встроенные роли для предоставления привилегий. Создавать настраиваемые роли можно только при необходимости. HDInsight использует Apache Ranger для более детального контроля над разрешениями.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. В сценариях поддержки, когда корпорации Майкрософт требуется доступ к данным клиентов, HDInsight поддерживает защищенное хранилище. Вы получаете интерфейс для проверки и утверждения или отклонения запросов на доступ к данным клиента.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Руководство. Используйте теги для ресурсов, связанных с развернутыми кластерами Azure HDInsight, чтобы упростить отслеживание ресурсов Azure, в которых хранится или обрабатывается конфиденциальная информация. Классификация и определение конфиденциальных данных с помощью Microsoft Purview. Используйте службу для любых данных, хранящихся в базах данных SQL или учетных записях службы хранилища Azure, связанных с кластером HDInsight.

Корпорация Майкрософт рассматривает все содержимое клиента на управляемой ею базовой платформе как конфиденциальное. Корпорация Майкрософт делает все возможное, чтобы значительно увеличить степень защиты от потери данных и их раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

DP-2. Защита конфиденциальных данных

Руководство. Реализуйте отдельные подписки и группы управления для разработки, тестирования и производства. Кластеры Azure HDInsight и все связанные учетные записи хранения должны быть разделены виртуальной сетью или подсетью, помечены соответствующим образом и защищены в группе безопасности сети или Брандмауэре Azure. Данные кластера должны содержаться в защищенной учетной записи хранения Azure или Azure Data Lake Storage (1-го или 2-го поколения).

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Рекомендации.Пометьте кластеры Azure HDInsight, в которых хранится или обрабатывается конфиденциальная информация, и связанные с ними ресурсы как конфиденциальные с помощью тегов. Чтобы снизить риск потери данных через утечку, Ограничьте исходящий сетевой трафик для кластеров Azure HDInsight с помощью брандмауэра Azure.

HDInsight не поддерживает автоматический мониторинг несанкционированной передачи конфиденциальных данных.

Корпорация Майкрософт рассматривает все содержимое клиента на управляемой ею базовой платформе как конфиденциальное. Корпорация Майкрософт делает все возможное, чтобы значительно увеличить степень защиты от потери данных и их раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

DP-4: шифрование конфиденциальной информации во время передачи

Руководство. HDInsight поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней. Шифруйте любую конфиденциальную информацию при передаче. Убедитесь в том, что все клиенты, подключающиеся к кластеру Azure HDInsight или хранилищам данных кластера (учетные записи хранения Azure или Azure Data Lake Storage 1-го или 2-го поколения), могут использовать TLS 1.2 или более поздней версии. По умолчанию ресурсы Microsoft Azure будут согласовывать подключение по протоколу TLS 1.2.

В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками.

Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.

Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.

Ответственность: Совмещаемая блокировка

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. Если для хранения метаданных Apache Hive и Apache Oozie используется База данных SQL Azure, убедитесь в том, что данные SQL остаются постоянно зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.

HDInsight поддерживает несколько типов шифрования на двух разных уровнях:

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Руководство. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в арендаторе и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей за отслеживание угроз безопасности может отвечать централизованная или локальная команда безопасности. Аналитические сведения о безопасности и риски должны всегда централизованно собираться в организации.

Вы можете широко применять разрешения «Читатель сведений о безопасности» для всей корневой группы управления арендатора или распространить действие разрешений для конкретных групп управления или подписок.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Руководство. Убедитесь в том, что группы безопасности обладают доступом к постоянно обновляемой инвентаризации ресурсов в Azure, например в решении HDInsight. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, которая будет охватывать уполномоченных специалистов отдела безопасности организации. Назначьте им доступ на чтение ко всем ресурсам HDInsight. Этот процесс можно упростить, используя одно высокоуровневое назначение ролей в рамках подписки.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для отправления запросов о ресурсах и их обнаружения в своих подписках. Вы также можете использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Руководство. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислительных, хранилища, сети, портов, протоколов и т. д.), включая кластеры Azure HDInsight, в ваших подписках. Удалите все неутвержденные ресурсы Azure, которые вы обнаружите. Для узлов кластера Azure HDInsight реализуйте стороннее решение, чтобы удалить неутвержденное программное обеспечение или оповещения о нем.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. В службе Azure HDInsight нет встроенной поддержки защитника. Она использует ClamAV. Однако при использовании ESP для HDInsight можно применять некоторые встроенные возможности обнаружения Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.

Пересылайте журналы из HDInsight в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Руководство. Используйте Microsoft Defender для облака и применяйте рекомендации по защите сети для виртуальной сети, подсети и группы безопасности сети, используемой для защиты кластера Azure HDInsight. Включите журналы потоков NSG и отправляйте журналы в учетную запись хранения Azure для поддержки аудита трафика. Вы также можете отправлять журналы потоков NSG в рабочую область Azure Log Analytics и использовать Аналитику трафика Azure для получения ценных сведений о потоке трафика в облаке Azure. Вот некоторые преимущества Аналитики трафика Azure:

  • визуализация сетевой активности и определение активных точек в сети;

  • выявление угроз безопасности;

  • понимание шаблонов потоков трафика;

  • выявление ошибок в конфигурации сети.

HDInsight регистрирует в журнале весь сетевой трафик, который обрабатывает для доступа клиента. Включите возможность сетевого потока в развернутых ресурсах.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не операции GET) для ресурсов HDInsight, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.

Включите журналы ресурсов Azure для HDInsight. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.

HDInsight также создает журналы аудита безопасности для локальных учетных записей администратора. Включите эти журналы аудита локального администратора.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение журналов ресурсов HDInsight для анализа. Убедитесь в том, что для каждого источника журнала есть следующее:

  • назначенный владелец данных;

  • рекомендации по доступу;

  • Расположение хранения

  • средства, используемые для обработки данных и доступа к ним;

  • требования к хранению данных.

Обязательно интегрируйте журналы действий Azure в централизованную систему ведения журналов.

Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. Для запросов и выполнения аналитики в Azure Monitor используйте рабочие области Log Analytics.

Используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения.

Включите и подключите данные к Microsoft Sentinel или системе SIEM стороннего производителя. Многие организации применяют Microsoft Sentinel для часто используемых "горячих" данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Ответственность: Customer

LT-6: Настройка хранения журналов

Руководство. Убедитесь в том, что для всех учетных записей хранения или рабочих областей Log Analytics, используемых для хранения журналов HDInsight, установлен период хранения, соответствующий нормативным требованиям вашей организации.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Корпорация Майкрософт поддерживает источники времени для большинства служб PaaS и SaaS на платформе Azure. На виртуальных машинах можно использовать сервер NTP по умолчанию (Microsoft) для синхронизации времени, если не указаны конкретные требования. Если необходимо установить собственный NTP-сервер, обеспечьте безопасность порта службы UDP 123. Все журналы, созданные ресурсами в Azure, содержат отметки времени с часового пояса, указанным по умолчанию.

Ответственность: Совмещаемая блокировка

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Руководство. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.HDInsight для создания настраиваемых политик. Создайте политики для аудита или принудительного применения сетевой конфигурации кластера HDInsight.

Если у вас есть подписка на Rapid7, Qualys или другую платформу управления уязвимостями, возможны разные варианты. С помощью скриптов вы можете установить агенты оценки уязвимостей на узлах кластера Azure HDInsight и управлять узлами через соответствующий портал.

С помощью Azure HDInsight ESP можно использовать Apache Ranger для создания детализированных политик управления доступом и маскировки данных, а также управления ими. Это можно сделать для данных, хранящихся в следующих местах:

  • Файлы

  • Папки

  • Базы данных

  • Таблицы

  • Строки

  • Столбцы

Администратор Hadoop может настроить Azure RBAC для защиты Apache Hive, HBase, Kafka и Spark с помощью этих подключаемых модулей в Apache Ranger.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Инструкции. Используйте параметры [запретить] и [развернуть, если не существует] Политики Azure, чтобы обеспечить безопасность параметров в кластерах Azure HDInsight и связанных с ними ресурсах.

Ответственность: Customer

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Руководство. Образы Ubuntu становятся доступны для создания кластера Azure HDInsight в течение трех месяцев после публикации. Работающие кластеры не исправляются автоматически. Клиенты должны использовать действия сценария или другие механизмы для исправления работающего кластера. Рекомендуем выполнить эти действия скрипта и применить обновления системы безопасности сразу после создания кластера.

Используйте Microsoft Defender для облака и Политику Azure, чтобы обеспечить защищенную конфигурацию всех вычислительных ресурсов, включая виртуальные машины, контейнеры и другое.

Ответственность: Customer

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Инструкции. Управлением образами операционных систем Azure HDInsight для пулов пакетной службы и их обслуживанием занимается корпорация Майкрософт. Однако вы несете ответственность за реализацию конфигурации состояния на уровне ОС для этого образа.

С помощью Microsoft Defender для облака и Политики Azure регулярно выполняйте оценку и устранение рисков конфигурации для вычислительных ресурсов Azure, в том числе виртуальных машин и контейнеров. Для обслуживания конфигурации безопасности операционной системы, которая требуется организации, можно также использовать следующие ресурсы:

  • шаблоны Azure Resource Manager (ARM);

  • пользовательские образы операционной системы;

  • служба автоматизации Azure — State Configuration.

Шаблоны виртуальных машин Майкрософт в сочетании со средством State Configuration службы автоматизации Azure могут помочь в соблюдении и поддержании требований безопасности.

Ответственность: Совмещаемая блокировка

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. HDInsight позволяет клиентам управлять образами операционных систем или контейнеров. Используйте Azure RBAC, чтобы предоставить доступ к пользовательским образам только полномочным пользователям. Используя Общую коллекцию образов Azure, вы можете делиться своими образами с другими пользователями, субъектами-службами или группами Azure AD в вашей организации. Храните образы контейнеров в Реестре контейнеров Azure и используйте Azure RBAC, чтобы убедиться в том, что доступ имеют только полномочные пользователи.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. В HDInsight можно применять стороннее решение, чтобы проводить оценки уязвимостей сетевых устройств и веб-приложений. При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.

Чтобы удостовериться, что уязвимости устранены, в случае необходимости экспортируйте результаты проверки через определенные интервалы времени и сравнивайте эти результаты с результатами предыдущих проверок.

Ответственность: Customer

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Работающие кластеры HDInsight не исправляются автоматически. Для исправления работающего кластера используйте скрипты или другие механизмы. Рекомендуем выполнить эти действия скрипта и применить обновления системы безопасности сразу после создания кластера.

Ответственность: Customer

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-1. Обнаружение и нейтрализация атак на конечные точки

Руководство. В службе Azure HDInsight нет встроенной поддержки защитника. Она использует ClamAV. Пересылайте журналы ClamAV в централизованную систему SIEM или другую систему обнаружения и оповещения.

Ответственность: Customer

ES-2: защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Инструкции. Azure HDInsight поставляется с предварительно установленным и включенным Clamscan для образов узлов кластера. Однако необходимо управлять программным обеспечением и вручную собирать и отслеживать все журналы, создаваемые Clamscan.

Ответственность: Customer

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Инструкции. Azure HDInsight поставляется с предварительно установленным и включенным Clamscan для образов узлов кластера. Clamscan будет автоматически выполнять обновление подсистемы, определений и сигнатур защиты от вредоносных программ на основе официальной базы данных сигнатур вирусов ClamAV.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Рекомендации. Если в развертывании Azure HDInsight используется Azure Key Vault, периодически тестируйте восстановление резервных копий ключей, управляемых клиентом.

Ответственность: Customer

BR-4: снижение риска потери ключей

Руководство. Если Azure Key Vault используется с развертыванием Azure HDInsight, включите обратимое удаление в Key Vault, чтобы защитить ключи от случайного или злонамеренного удаления.

Ответственность: Customer

Следующие шаги