Azure-säkerhetsbaslinje för HDInsight

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 till HDInsight. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för HDInsight.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för HDInsight, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur HDInsight mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för HDInsight-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Perimetersäkerhet i Azure HDInsight uppnås via virtuella nätverk. En företagsadministratör kan skapa ett kluster i ett virtuellt nätverk och använda en nätverkssäkerhetsgrupp (NSG) för att begränsa åtkomsten till det virtuella nätverket. Endast de tillåtna IP-adresserna i de inkommande NSG-reglerna kan kommunicera med Azure HDInsight-klustret. Den här konfigurationen ger perimetersäkerhet. Alla kluster som distribueras i ett virtuellt nätverk har också en privat slutpunkt. Slutpunkten matchas till en privat IP-adress i Virtual Network. Den ger privat HTTP-åtkomst till klustergatewayerna.

Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på dina NSG-regler. För specifika, väldefinierade program som en app med tre nivåer kan detta vara en mycket säker neka-som-standard.

Portar som vanligtvis krävs för alla typer av kluster:

  • 22–23 – SSH-åtkomst till klusterresurserna

  • 443 – Ambari, WebHCat REST API, HiveServer ODBC och JDBC

Mer information om specifika typer av kluster finns i den här artikeln.

Du kan skapa privata HDInsight-kluster genom att konfigurera specifika nätverksegenskaper i en Arm-mall (Azure Resource Manager). Det finns två egenskaper som du använder för att skapa privata HDInsight-kluster:

  • Ta bort offentliga IP-adresser genom att ställa in resursprovideranslutningen på utgående.

  • Aktivera Azure Private Link och använd privata slutpunkter genom att ange PrivateLink till aktiverad.

Läs mer i följande referenser:

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd Azure Private Link för att aktivera privat åtkomst till HDInsight från dina virtuella nätverk utan att korsa Internet. Privat åtkomst lägger till ett djupgående skydd för Azure-autentisering och trafiksäkerhet.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Skydda HDInsight-resurser mot attacker från externa nätverk. Attacker kan omfatta:

  • Distribuerade överbelastningsattacker (DDoS)

  • Programspecifika attacker

  • Oönskad och potentiellt skadlig Internettrafik

Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser. Skydda tillgångar mot DDoS-attacker genom att aktivera DDoS Protection Standard på virtuella Azure-nätverk. Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker i nätverksrelaterade resurser.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller för HDInsight-resurser i NSG:er eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Ange ett namn på en tjänsttagg som "HDInsight" i rätt regelkälla eller målfält för att tillåta eller neka trafik för tjänsten. Microsoft hanterar adressprefixen som tjänsttaggen omfattar och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker som:

  • Dangling DNS

  • DNS-förstärkningsattacker

  • DNS-förgiftning och förfalskning

När du använder Azure DNS som DNS-tjänst ska du skydda DNS-zoner och DNS-poster från oavsiktliga eller skadliga ändringar med hjälp av Azure Role-Based Access Control (RBAC) och resurslås.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: HDInsight använder Azure AD som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser. Resurser omfattar:

    • Azure Portal

    • Azure Storage

    • Virtuella Azure Linux- och Windows-datorer

    • Azure Key Vault

    • Plattform som en tjänst (PaaS)

    • SaaS-program (Programvara som en tjänst)

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet för organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att jämföra din identitetssäkerhetsstatus med Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Konfigurera Azure HDInsight-kluster med Enterprise Security Package (ESP). Du kan ansluta dessa kluster till en domän så att användarna kan använda sina domänautentiseringsuppgifter för att autentisera med klustren. Tre huvudsakliga inbyggda Roller i Azure RBAC är tillgängliga för resurshantering av HDInsight:

  • Läsare: Läsåtkomst till HDInsight-resurser, inklusive hemligheter

  • HDInsight-klusteroperator: Läs- och skrivåtkomst till HDInsight-resurser, inklusive hemligheter

  • Deltagare: Läs- och skrivåtkomst, inklusive hemligheter och möjlighet att köra skriptåtgärder

För säkerhet på radnivå kan Apache Ranger implementeras för att ange åtkomstkontrollprinciper för Hive.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: HDInsight stöder hanterade identiteter för sina Azure-resurser. Använd hanterade identiteter med HDInsight i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser. HDInsight kan autentiseras internt mot De Azure-tjänster och resurser som stöder Azure AD autentisering. Autentiseringen stöds via en fördefinierad regel för åtkomstbeviljande. Den använder inte autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Använd Azure HDInsight ID Broker för att logga in på ESP-kluster med hjälp av multifaktorautentisering, utan att ange några lösenord. Om du redan har loggat in på andra Azure-tjänster, till exempel Azure Portal, kan du logga in på ditt Azure HDInsight-kluster med en SSO-upplevelse.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Om du använder någon kod som är relaterad till din Azure HDInsight-distribution kan du implementera Credential Scanner för att identifiera autentiseringsuppgifter i koden. Autentiseringsskannern uppmuntrar också till att flytta identifierade autentiseringsuppgifter till säkrare platser som Azure Key Vault.

För GitHub kan du använda funktionen för intern hemlighetsgenomsökning för att identifiera autentiseringsuppgifter eller andra former av hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda Azure AD rollerna är global administratör och privilegierad rolladministratör. Användare med dessa två roller kan delegera administratörsroller.

  • Den globala administratören eller företagsadministratören har åtkomst till alla Azure AD administrativa funktioner och tjänster som använder Azure AD identiteter.

  • Privilegierad rolladministratör kan hantera rolltilldelningar i Azure AD och Azure AD Privileged Identity Management (PIM). Den här rollen kan hantera alla aspekter av PIM och administrativa enheter.

Använd HDInsight ESP, som har följande privilegierade roller:

  • Klusteradministratör

  • Klusteroperator

  • Tjänstadministratör

  • Tjänstoperatör

  • Klusteranvändare

Skapa standardprocedurer för användning av dedikerade administrativa konton. Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Användare med hög behörighet kan direkt eller indirekt läsa och ändra alla dina Azure-resurser.

Du kan aktivera just-in-time(JIT) privilegierad åtkomst till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT ger tillfälliga behörigheter att endast utföra privilegierade uppgifter när användarna behöver det. PIM kan också generera säkerhetsaviseringar för misstänkt eller osäker aktivitet i din Azure AD organisation.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: HDInsight använder Azure AD konton för att hantera sina resurser. Granska användarkonton och åtkomsttilldelningar regelbundet för att kontrollera att kontona och deras åtkomst är giltiga. Du kan använda Azure AD och få åtkomst till granskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Du kan också skapa arbetsflöden för åtkomstgranskningsrapport i Azure AD PIM för att underlätta granskningsprocessen.

Du kan konfigurera Azure AD PIM för att varna dig när det finns för många administratörskonton. PIM kan identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är viktiga för säkerheten för känsliga roller som administratörer, utvecklare och kritiska tjänstoperatorer. Använd mycket säkra användararbetsstationer och Azure Bastion för administrativa uppgifter som rör hantering av dina HDInsight-resurser.

Använd Azure AD, Microsoft Defender ATP eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. Du kan centralt hantera skyddade arbetsstationer för att framtvinga en säkerhetskonfiguration som innehåller:

  • Stark autentisering

  • Programvaru- och maskinvarubaslinjer

  • Begränsad logisk åtkomst och nätverksåtkomst

Läs mer i följande referenser:

Ansvar: Kund

PA-7: Följ principen för minsta möjliga behörighet för precis tillräckligt med administration

Vägledning: HDInsight integreras med Azure RBAC för att hantera dess resurser. Med RBAC hanterar du Azure-resursåtkomst via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal.

Begränsa de behörigheter som du tilldelar resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden för Azure AD PIM. Granska roller och tilldelningar med jämna mellanrum.

Använd inbyggda roller för att ge behörigheter och skapa bara anpassade roller när det behövs. HDInsight använder Apache Ranger för att ge mer detaljerad kontroll över behörigheter.

Ansvar: Kund

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: I supportscenarier där Microsoft behöver åtkomst till kunddata har HDInsight stöd för Customer Lockbox. Det tillhandahåller ett gränssnitt där du kan granska begäranden om åtkomst till kunddata och godkänna eller avvisa dem.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: Använd taggar för resurser som är relaterade till dina Azure HDInsight-distributioner för att spåra Azure-resurser som lagrar eller bearbetar känslig information. Klassificera och identifiera känsliga data med Hjälp av Microsoft Purview. Använd tjänsten för alla data som lagras i SQL-databaser eller Azure Storage-konton som är associerade med ditt HDInsight-kluster.

För den underliggande plattformen, som Microsoft hanterar, behandlar Microsoft allt kundinnehåll som känsligt. Microsoft gör stora åtgärder för att skydda sig mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

DP-2: Skydda känsliga data

Vägledning: Implementera separata prenumerationer och hanteringsgrupper för utveckling, testning och produktion. Du bör separera Azure HDInsight-kluster och associerade lagringskonton efter virtuellt nätverk/undernät, tagga dem på rätt sätt och skydda dem i en NSG eller Azure Firewall. Innehåller klusterdata i ett skyddat Azure Storage-konto eller Azure Data Lake Storage (Gen1 eller Gen2).

Ansvar: Kund

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: För Azure HDInsight-kluster som lagrar eller bearbetar känslig information markerar du klustret och relaterade resurser som känsliga med hjälp av taggar. Begränsa utgående nätverkstrafik för Azure HDInsight-kluster med hjälp av Azure Firewall för att minska risken för dataförlust via exfiltrering.

HDInsight stöder inte automatisk övervakning för obehörig överföring av känsliga data internt.

För den underliggande plattformen, som Microsoft hanterar, behandlar Microsoft allt kundinnehåll som känsligt. Microsoft gör stora åtgärder för att skydda sig mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

DP-4: Kryptera känslig information under överföring

Vägledning: HDInsight stöder datakryptering under överföring med TLS v1.2 eller senare. Kryptera all känslig information under överföring. Kontrollera att alla klienter som ansluter till ditt Azure HDInsight-kluster eller klusterdatalager (Azure Storage-konton eller Azure Data Lake Storage Gen1/Gen2) kan förhandla om TLS 1.2 eller senare. Microsoft Azure-resurser förhandlar som standard om TLS 1.2.

För att komplettera åtkomstkontrollerna skyddar du data under överföring mot "out of band"-attacker som trafikinsamling. Använd kryptering för att se till att angripare inte enkelt kan läsa eller ändra data.

För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS-, SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: Om du använder Azure SQL Database för att lagra Apache Hive och Apache Oozie-metadata kontrollerar du att SQL-data alltid förblir krypterade. För Azure Storage-konton och Data Lake Storage (Gen1 eller Gen2) rekommenderar vi att Microsoft hanterar dina krypteringsnycklar, men du kan hantera dina egna nycklar.

HDInsight stöder flera typer av kryptering i två olika lager:

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att bevilja säkerhetsteam säkerhetsläsare behörigheter i din Azure-klientorganisation och prenumerationer, så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Övervakning av säkerhetsrisker kan vara ett centralt säkerhetsteams eller ett lokalt teams ansvar, beroende på hur du strukturerar ansvarsområden. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare i stort sett för en hel klientorganisations rothanteringsgrupp eller omfångsbehörigheter för specifika hanteringsgrupper eller prenumerationer.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteam har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel HDInsight. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela dem läsbehörighet till alla HDInsight-resurser. Du kan förenkla processen genom att använda en enda rolltilldelning på hög nivå i din prenumeration.

Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att logiskt organisera dem i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph för att fråga efter och identifiera resurser i prenumerationer. Du kan också använda Azure Monitor för att skapa regler för att utlösa aviseringar när de identifierar en tjänst som inte har godkänts.

Ansvar: Kund

AM-6: Använd endast godkända program i beräkningsresurser

Vägledning: Använd Azure Resource Graph för att fråga efter och identifiera alla resurser som beräkning, lagring, nätverk, portar, protokoll och så vidare, inklusive Azure HDInsight-kluster, i dina prenumerationer. Ta bort alla icke godkända Azure-resurser som du identifierar. För Azure HDInsight-klusternoder implementerar du en lösning från tredje part för att ta bort eller avisera om icke-godkänd programvara.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Azure HDInsight har inte stöd för Defender internt, utan ClamAV. Men när du använder ESP för HDInsight kan du använda några av de inbyggda hotidentifieringsfunktionerna i Microsoft Defender för molnet. Du kan också aktivera Microsoft Defender för dina virtuella datorer som är kopplade till HDInsight.

Vidarebefordra alla loggar från HDInsight till SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Använd Microsoft Defender för molnet och åtgärda nätverksskyddsrekommendationer för det virtuella nätverket, undernätet och NSG:n som används för att skydda ditt Azure HDInsight-kluster. Aktivera NSG-flödesloggar och skicka loggar till ett Azure Storage-konto för att stödja trafikgranskningar. Du kan också skicka NSG-flödesloggar till en Azure Log Analytics-arbetsyta och använda Azure Traffic Analytics för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar som Azure Traffic Analytics ger är möjligheten att:

  • Visualisera nätverksaktivitet och identifiera aktiva platser.

  • Identifiera säkerhetshot.

  • Förstå trafikflödesmönster

  • Hitta felaktiga nätverkskonfigurationer.

HDInsight loggar all nätverkstrafik som bearbetas för kundåtkomst. Aktivera nätverksflödesfunktionen i dina distribuerade erbjudanderesurser.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla PUT-, POST- och DELETE-åtgärder, men inte GET,-åtgärder för dina HDInsight-resurser förutom läsåtgärder (GET). Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare i din organisation ändrade resurser.

Aktivera Azure-resursloggar för HDInsight. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

HDInsight skapar även säkerhetsgranskningsloggar för de lokala administratörskontona. Aktivera dessa granskningsloggar för lokala administratörer.

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring för dina HDInsight-resurser för analys. Kontrollera att du har följande för varje loggkälla:

  • En tilldelad dataägare

  • Vägledning för åtkomst

  • Lagringsplats

  • De verktyg som du använder för att bearbeta och komma åt data

  • Krav för datakvarhållning

Se till att integrera Azure-aktivitetsloggar i din centrala loggning.

Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som slutpunktsenheter, nätverksresurser och andra säkerhetssystem genererar. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser.

Använd Azure Storage-konton för långsiktig lagring och arkiveringslagring.

Aktivera och publicera data till Microsoft Sentinel eller en SIEM från tredje part. Många organisationer använder Microsoft Sentinel för "heta" data som de använder ofta och Azure Storage för "kalla" data som de använder mindre ofta.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Se till att alla lagringskonton eller Log Analytics-arbetsytor som du använder för att lagra HDInsight-loggar har loggkvarhållningsperioder inställda enligt organisationens efterlevnadsregler.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Microsoft underhåller tidskällor för de flesta PaaS- och SaaS-tjänster i Azure-plattformen. För dina virtuella datorer använder du en Microsoft NTP-server (Network Time Protocol) för tidssynkronisering om du inte har ett specifikt krav. Om du behöver skapa en egen NTP-server måste du skydda UDP-tjänstporten 123. Alla loggar som genereras av resurser i Azure tillhandahåller tidsstämplar med den tidszon som anges som standard.

Ansvar: Delad

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Använd Azure Policy alias i namnområdet "Microsoft.HDInsight" för att skapa anpassade principer. Konfigurera principerna för att granska eller framtvinga nätverkskonfigurationen för ditt HDInsight-kluster.

Om du har en Rapid7-, Qualys- eller någon annan prenumeration på plattformen för sårbarhetshantering har du alternativ. Du kan använda skriptåtgärder för att installera agenter för sårbarhetsbedömning på dina Azure HDInsight-klusternoder och hantera noderna via respektive portal.

Med Azure HDInsight ESP kan du använda Apache Ranger för att skapa och hantera detaljerade principer för åtkomstkontroll och datafördunkring. Du kan göra det för dina data som lagras i:

  • Filer

  • Mappar

  • Databaser

  • Tabeller

  • Rader

  • Kolumner

Hadoop-administratören kan konfigurera Azure RBAC för att skydda Apache Hive, HBase, Kafka och Spark med hjälp av dessa plugin-program i Apache Ranger.

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina Azure HDInsight-kluster och relaterade resurser.

Ansvar: Kund

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Ubuntu-avbildningar blir tillgängliga för att skapa nya Azure HDInsight-kluster inom tre månader efter publiceringen. Kluster som körs skickas inte automatiskt. Kunder måste använda skriptåtgärder eller andra mekanismer för att korrigera ett kluster som körs. Vi rekommenderar att du kör dessa skriptåtgärder och tillämpar säkerhetsuppdateringar direkt efter att klustret har skapats

Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer, containrar med mera.

Ansvar: Kund

PV-4: Upprätthålla säkra konfigurationer för beräkningsresurser

Vägledning: Azure HDInsight-operativsystemavbildningar som hanteras och underhålls av Microsoft. Du ansvarar dock för att implementera tillståndskonfiguration på operativsystemnivå för avbildningen.

Använd Microsoft Defender för molnet och Azure Policy för att regelbundet utvärdera och åtgärda konfigurationsrisker för Azure-beräkningsresurser, inklusive virtuella datorer och containrar. Du kan också använda dessa resurser för att upprätthålla den säkerhetskonfiguration för operativsystemet som din organisation kräver:

  • Arm-mallar (Azure Resource Manager).

  • Anpassade operativsystemavbildningar.

  • Azure Automation tillståndskonfiguration.

Mallar för virtuella Microsoft-datorer i kombination med Azure Automation State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Ansvar: Delad

PV-5: Lagra anpassade operativsystem och containeravbildningar på ett säkert sätt

Vägledning: MED HDInsight kan kunder hantera operativsystemavbildningar eller containeravbildningar. Använd Azure RBAC för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar. Använd en Azure-Shared Image Gallery för att dela dina bilder med olika användare, tjänstens huvudnamn eller Azure AD grupper i din organisation. Lagra containeravbildningar i Azure Container Registry och använd Azure RBAC för att säkerställa att endast behöriga användare har åtkomst.

Ansvar: Kund

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: HDInsight kan använda en lösning från tredje part för att utföra sårbarhetsbedömningar på nätverksenheter och webbprogram. När du utför fjärrgenomsökningar ska du inte använda ett enda, evigt administrativt konto. Överväg att implementera JIT-etableringsmetodik för genomsökningskontot. Autentiseringsuppgifterna för genomsökningskontot ska skyddas, övervakas och endast användas för sårbarhetsgenomsökning.

Vid behov exporterar du genomsökningsresultat med konsekventa intervall och jämför resultaten med tidigare genomsökningar för att kontrollera att säkerhetsrisker har åtgärdats.

Ansvar: Kund

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Körning av HDInsight-kluster är inte automatiskt mönstret. Använd endast skriptåtgärder eller andra mekanismer för att korrigera ett kluster som körs. Vi rekommenderar att du kör dessa skriptåtgärder och tillämpar säkerhetsuppdateringar direkt efter att klustret har skapats.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts red teamindelningsstrategi och körning. Utför intrångstester på livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Delad

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-1: Använd slutpunktsidentifiering och svar

Vägledning: Azure HDInsight stöder inte Defender internt. Den använder ClamAV. Vidarebefordra ClamAV-loggarna till ett centraliserat SIEM- eller annat identifierings- och aviseringssystem.

Ansvar: Kund

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Azure HDInsight levereras med Clamscan förinstallerat och aktiverat för klusternodavbildningarna. Du måste dock hantera programvaran och manuellt aggregera/övervaka eventuella loggar som Clamscan producerar.

Ansvar: Kund

ES-3: Se till att programvara och signaturer för program mot skadlig kod och signaturer uppdateras

Vägledning: Azure HDInsight levereras med Clamscan förinstallerat och aktiverat för klusternodavbildningarna. Clamscan utför motor- och definitionsuppdateringar automatiskt och uppdaterar sina signaturer för skadlig kod baserat på ClamAV:s officiella virussignaturdatabas.

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Om du använder Azure Key Vault med din Azure HDInsight-distribution testar du regelbundet återställning av säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Om du använder Azure Key Vault med din Azure HDInsight-distribution aktiverar du mjuk borttagning i Key Vault för att skydda nycklar mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Nästa steg