適用于 HDInsight 的 Azure 安全性基準
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 HDInsight。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控制項,以及適用于 HDInsight 的相關指導方針分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在 Cloud 入口網站Microsoft Defender頁面的法規合規性一節中。
當功能有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制措施和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於 HDInsight的功能。 若要查看 HDInsight 如何完全對應至 Microsoft 雲端安全性基準測試,請參閱 完整的 HDInsight 安全性基準對應檔案。
安全性設定檔
安全性設定檔摘要說明 HDInsight 的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 分析 |
| 客戶可以存取 HOST / OS | 唯讀 |
| 服務可以部署到客戶的虛擬網路 | 對 |
| 儲存待用客戶內容 | 對 |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援部署到客戶的私人虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure HDInsight 中的周邊安全性是透過虛擬網路來達成。 企業管理員可以在虛擬網路內建立叢集,並使用網路安全性群組 (NSG) 來限制虛擬網路的存取。
設定指引:將服務部署至虛擬網路。 除非有將公用 IP 直接指派給資源的強大原因,否則請將私人 IP 指派給資源, (適用的) 。
注意:根據您的應用程式和企業分割策略,根據您的 NSG 規則限制或允許內部資源之間的流量。 針對特定且定義完善的應用程式,例如三層式應用程式,這可能是高度安全的拒絕預設。
網路安全性群組支援
描述:服務網路流量會遵守其子網上的網路安全性群組規則指派。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure HDInsight 中的周邊安全性是透過虛擬網路來達成。 企業管理員可以在虛擬網路內建立叢集,並使用網路安全性群組 (NSG) 來限制虛擬網路的存取。 只有輸入 NSG 規則中允許的 IP 位址可以與 Azure HDInsight 叢集通訊。 此設定可提供周邊安全性。 部署在虛擬網路中的所有叢集也會有私人端點。 端點會解析為虛擬網路內的私人 IP 位址。 它提供叢集閘道的私人 HTTP 存取。
根據您的應用程式和企業分割策略,根據您的 NSG 規則限制或允許內部資源之間的流量。 針對特定且定義完善的應用程式,例如三層式應用程式,這可能是高度安全的拒絕預設。
所有叢集類型通常需要的埠:
22-23 - 叢集資源的 SSH 存取
443 - Ambari、WebHCat REST API、HiveServer ODBC 和 JDBC
設定指引:使用網路安全性群組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
NS-2:使用網路控制保護雲端服務
功能
Azure Private Link
描述:用於篩選網路流量的服務原生 IP 篩選功能, (不會與 NSG 或Azure 防火牆) 混淆。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:使用Azure Private Link從虛擬網路啟用 HDInsight 的私人存取,而不需跨越網際網路。 私人存取會將深度防禦措施新增至 Azure 驗證和流量安全性。
設定指引:針對支援Private Link功能的所有 Azure 資源部署私人端點,以建立資源的私人存取點。
注意:使用 Azure Private Link 從您的虛擬網路啟用 HDInsight 的私人存取,而不需跨越網際網路。 私人存取會將深度防禦措施新增至 Azure 驗證和流量安全性。
參考:在 HDInsight 叢集上啟用Private Link
停用公用網路存取
描述:服務支援透過使用服務層級 IP ACL 篩選規則來停用公用網路存取, (非 NSG 或Azure 防火牆) 或使用 [停用公用網路存取] 切換開關。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用服務層級 IP ACL 篩選規則或切換交換器來存取公用網路,停用公用網路存取。
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
功能
資料平面存取所需的 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制資料平面存取。
資料平面存取的本機驗證方法
描述:資料平面存取支援的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:建立 HDI 叢集時,會在資料平面中建立兩個本機系統管理員帳戶, (Apache Ambari) 。 一個對應至叢集建立者傳遞認證的使用者。 另一個是由 HDI 控制平面所建立。 HDI 控制平面會使用此帳戶來呼叫資料平面。 請避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:預設部署上啟用此設定時不需要其他設定。
IM-3:安全且自動地管理應用程式身分識別
功能
受控識別
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
服務主體
描述:資料平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
IM-7:根據條件限制資源存取
功能
資料平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
IM-8:限制認證和祕密的公開
功能
Azure Key Vault 中服務認證和秘密支援整合和儲存
描述:資料平面支援針對認證和秘密存放區使用 Azure 金鑰保存庫。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
特殊權限存取
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:特殊許可權存取。
PA-1:劃分和限制高度權限/系統管理使用者
功能
本機管理員帳戶
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:建立 HDI 叢集時,會在資料平面中建立兩個本機系統管理員帳戶, (Apache Ambari) 。 一個對應至叢集建立者傳遞認證的使用者。 另一個是由 HDI 控制平面所建立。 HDI 控制平面會使用此帳戶來呼叫資料平面。 請避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:預設部署上啟用此設定時不需要其他設定。
PA-7:受保護的系統管理員
功能
適用于資料平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
功能注意事項:資料平面僅支援以 Ambari 為基礎的角色。 細部 ACL 是透過 Ranger 完成。
設定指引:不支援此功能來保護此服務。
PA-8:判斷雲端提供者支援的存取程序
功能
客戶加密箱
描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:在 Microsoft 需要存取客戶資料的支援案例中,HDInsight 支援客戶加密箱。 它提供介面供您檢閱客戶資料存取要求,並核准或拒絕這些要求。
設定指引:在 Microsoft 需要存取資料的支援案例中,使用客戶加密箱來檢閱,然後核准或拒絕每個 Microsoft 的資料存取要求。
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
DP-1:探索、分類及標記敏感性資料
功能
敏感性資料探索和分類
描述:Azure Purview 或 Azure 資訊保護) 之類的工具 (可用於服務中的資料探索和分類。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:使用與 Azure HDInsight 部署相關的資源標記,協助追蹤儲存或處理敏感性資訊的 Azure 資源。 使用 Microsoft Purview 分類和識別敏感性資料。 針對儲存在 SQL 資料庫或與 HDInsight 叢集相關聯的 Azure 儲存體帳戶中的任何資料使用服務。
針對 Microsoft 管理的基礎平臺,Microsoft 會將所有客戶內容視為敏感性。 Microsoft 的長度很大,可防範客戶資料遺失和暴露。 為了確保 Azure 內的客戶資料安全無虞,Microsoft 已實作並維護一套健全的資料保護控制與功能。
設定指引:使用 Azure Purview、Azure 資訊保護和Azure SQL資料探索和分類等工具,集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 或其他位置的任何敏感性資料。
參考: Azure 客戶資料保護
DP-2:監視以敏感性資料為目標的異常和威脅
功能
資料外泄/外泄防護
描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感性資料移動 (。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-3:加密傳輸中的敏感性資料
功能
傳輸中資料加密
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能資訊:HDInsight 支援使用 TLS v1.2 或更新版本傳輸中的資料加密。 加密傳輸中的所有敏感性資訊。 請確定任何連線到 Azure HDInsight 叢集或叢集資料的用戶端 (Azure 儲存體帳戶或 Azure Data Lake Storage Gen1/Gen2) 可以交涉 TLS 1.2 或更新版本。 Microsoft Azure 資源預設會交涉 TLS 1.2。
為了補充存取控制,請保護傳輸中的資料免于「頻外」攻擊,例如流量擷取。 使用加密來確保攻擊者無法輕易讀取或修改資料。
針對遠端管理,請使用 SSH (Linux) 或 RDP/TLS (Windows),而不是未加密的通訊協定。 應該停用已淘汰的 SSL、TLS、SSH 版本和通訊協定,以及弱式加密。
設定指引:在內建原生資料傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版,例如 SSL 3.0、TLS v1.0。 若要遠端系統管理虛擬機器,請使用適用于 Linux) 的 SSH (或適用于 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。
注意:HDInsight 支援使用 TLS v1.2 或更新版本傳輸中的資料加密。 加密傳輸中的所有敏感性資訊。 請確定任何連線到 Azure HDInsight 叢集或叢集資料的用戶端 (Azure 儲存體帳戶或 Azure Data Lake Storage Gen1/Gen2) 可以交涉 TLS 1.2 或更新版本。 Microsoft Azure 資源預設會交涉 TLS 1.2。
為了補充存取控制,請保護傳輸中的資料免于「頻外」攻擊,例如流量擷取。 使用加密來確保攻擊者無法輕易讀取或修改資料。
針對遠端管理,請使用 SSH (Linux) 或 RDP/TLS (Windows),而不是未加密的通訊協定。 應該停用已淘汰的 SSL、TLS、SSH 版本和通訊協定,以及弱式加密。
對於 Azure 資料中心之間的傳輸中資料,Azure 預設支援加密。
DP-4:預設啟用待用資料加密
功能
使用平臺金鑰進行待用加密的資料
描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰進行加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能注意事項:如果使用 Azure SQL 資料庫來儲存 Apache Hive 和 Apache Oozie 中繼資料,請確定 SQL 資料一律會保持加密狀態。 對於 Azure 儲存體帳戶和 Data Lake Storage (Gen1 或 Gen2) ,建議您允許 Microsoft 管理加密金鑰,不過,您可以管理自己的金鑰。
HDInsight 支援兩個不同層中有多種加密類型:
伺服器端加密 (SSE) - SSE 是由儲存體服務所執行。 在 HDInsight 中,SSE 用來加密 OS 磁碟和資料磁碟。 此選項預設為啟用狀態。 SSE 是第 1 層加密服務。
使用平台代控金鑰進行主機加密 - 與 SSE 類似,此加密類型是由儲存體服務所執行。 不過,它僅適用于暫存磁片,且預設不會啟用。 主機加密也是第 1 層加密服務。
使用客戶自控金鑰進行待用加密 - 此加密類型可用於資料和暫存磁碟。 預設不會啟用它,而且要求客戶透過 Azure 金鑰保存庫提供自己的金鑰。 待用加密是第 2 層加密服務。
設定指引:使用由服務未自動設定的平臺受控 (Microsoft 管理) 金鑰啟用待用資料加密。
注意:如果使用 Azure SQL Database 來儲存 Apache Hive 和 Apache Oozie 中繼資料,請確定 SQL 資料一律會保持加密狀態。 對於 Azure 儲存體帳戶和 Data Lake Storage (Gen1 或 Gen2) ,建議您允許 Microsoft 管理加密金鑰,不過,您可以管理自己的金鑰。
HDInsight 支援兩個不同層中有多種加密類型:
伺服器端加密 (SSE) - SSE 是由儲存體服務所執行。 在 HDInsight 中,SSE 用來加密 OS 磁碟和資料磁碟。 此選項預設為啟用狀態。 SSE 是第 1 層加密服務。
使用平台代控金鑰進行主機加密 - 與 SSE 類似,此加密類型是由儲存體服務所執行。 不過,它僅適用于暫存磁片,且預設不會啟用。 主機加密也是第 1 層加密服務。
使用客戶自控金鑰進行待用加密 - 此加密類型可用於資料和暫存磁碟。 預設不會啟用它,而且要求客戶透過 Azure 金鑰保存庫提供自己的金鑰。 待用加密是第 2 層加密服務。
參考: 待用資料的 Azure HDInsight 雙重加密
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
功能
使用 CMK 進行待用資料加密
描述:服務所儲存的客戶內容支援使用客戶自控金鑰的資料待用加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能注意事項:如果使用 Azure SQL 資料庫來儲存 Apache Hive 和 Apache Oozie 中繼資料,請確定 SQL 資料一律會保持加密狀態。 對於 Azure 儲存體帳戶和 Data Lake Storage (Gen1 或 Gen2) ,建議您允許 Microsoft 管理加密金鑰,不過,您可以管理自己的金鑰。
HDInsight 支援兩個不同層中有多種加密類型:
伺服器端加密 (SSE) - SSE 是由儲存體服務所執行。 在 HDInsight 中,SSE 用來加密 OS 磁碟和資料磁碟。 此選項預設為啟用狀態。 SSE 是第 1 層加密服務。
使用平台代控金鑰進行主機加密 - 與 SSE 類似,此加密類型是由儲存體服務所執行。 不過,它僅適用于暫存磁片,且預設不會啟用。 主機加密也是第 1 層加密服務。
使用客戶自控金鑰進行待用加密 - 此加密類型可用於資料和暫存磁碟。 預設不會啟用它,而且要求客戶透過 Azure 金鑰保存庫提供自己的金鑰。 待用加密是第 2 層加密服務。
設定指引:如果需要法規合規性,請定義使用客戶管理的金鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。
注意:如果使用 Azure SQL Database 來儲存 Apache Hive 和 Apache Oozie 中繼資料,請確定 SQL 資料一律會保持加密狀態。 對於 Azure 儲存體帳戶和 Data Lake Storage (Gen1 或 Gen2) ,建議您允許 Microsoft 管理加密金鑰,不過,您可以管理自己的金鑰。
HDInsight 支援兩個不同層中有多種加密類型:
伺服器端加密 (SSE) - SSE 是由儲存體服務所執行。 在 HDInsight 中,SSE 用來加密 OS 磁碟和資料磁碟。 此選項預設為啟用狀態。 SSE 是第 1 層加密服務。
使用平台代控金鑰進行主機加密 - 與 SSE 類似,此加密類型是由儲存體服務所執行。 不過,它僅適用于暫存磁片,且預設不會啟用。 主機加密也是第 1 層加密服務。
使用客戶自控金鑰進行待用加密 - 此加密類型可用於資料和暫存磁碟。 預設不會啟用它,而且要求客戶透過 Azure 金鑰保存庫提供自己的金鑰。 待用加密是第 2 層加密服務。
參考: 待用資料的 Azure HDInsight 雙重加密
DP-6:使用安全金鑰管理程序
功能
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能注意事項:如果使用 Azure SQL 資料庫來儲存 Apache Hive 和 Apache Oozie 中繼資料,請確定 SQL 資料一律會保持加密狀態。 對於 Azure 儲存體帳戶和 Data Lake Storage (Gen1 或 Gen2) ,建議您允許 Microsoft 管理加密金鑰,不過,您可以管理自己的金鑰。
HDInsight 支援兩個不同層中有多種加密類型:
伺服器端加密 (SSE) - SSE 是由儲存體服務所執行。 在 HDInsight 中,SSE 用來加密 OS 磁碟和資料磁碟。 此選項預設為啟用狀態。 SSE 是第 1 層加密服務。
使用平台代控金鑰進行主機加密 - 與 SSE 類似,此加密類型是由儲存體服務所執行。 不過,它僅適用于暫存磁片,且預設不會啟用。 主機加密也是第 1 層加密服務。
使用客戶自控金鑰進行待用加密 - 此加密類型可用於資料和暫存磁碟。 預設不會啟用它,而且要求客戶透過 Azure 金鑰保存庫提供自己的金鑰。 待用加密是第 2 層加密服務。
設定指引:使用 Azure 金鑰保存庫來建立及控制加密金鑰的生命週期,包括金鑰產生、散發和儲存體。 根據定義的排程或金鑰淘汰或入侵時,輪替和撤銷 Azure 中的金鑰金鑰保存庫和服務。 如果您需要在工作負載、服務或應用層級中使用客戶管理的金鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層在金鑰保存庫中產生個別的資料加密金鑰 (DEK) 與金鑰加密金鑰 (KEK) 。 請確定金鑰已向 Azure 金鑰保存庫註冊,並透過服務或應用程式的金鑰識別碼加以參考。 如果您需要將自己的金鑰 (BYOK) 帶入服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
注意:如果您使用 Azure 金鑰保存庫搭配 Azure HDInsight 部署,請定期測試備份客戶管理的金鑰還原。
參考: 待用資料的 Azure HDInsight 雙重加密
DP-7:使用安全的憑證管理程序
功能
Azure Key Vault 中的憑證管理
描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 待用資料的 Azure HDInsight 雙重加密
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:您可以透過Azure 原則監視和強制執行服務組態。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:使用 「Microsoft.HDInsight」 命名空間中的Azure 原則別名來建立自訂原則。 設定原則以稽核或強制執行 HDInsight 叢集的網路設定。
如果您有 Rapid7、Qualys 或任何其他弱點管理平臺訂用帳戶,您有選項。 您可以使用腳本動作,在 Azure HDInsight 叢集節點上安裝弱點評估代理程式,並透過個別入口網站管理節點。
透過 Azure HDInsight ESP,您可以使用 Apache Ranger 來建立和管理精細的存取控制和資料混淆原則。 您可以針對儲存在:檔案/資料夾/資料庫/資料表/資料列/資料行中的資料執行此動作。
Hadoop 系統管理員可以使用 Apache Ranger 中的外掛程式,設定 Azure RBAC 來保護 Apache Hive、HBase、Kafka 和 Spark。
設定指引:使用 Microsoft Defender for Cloud 來設定Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用Azure 原則 [deny] 和 [如果不存在] 效果來強制執行跨 Azure 資源的安全設定。
參考:Azure 原則 Azure HDInsight 的內建定義
AM-5:僅在虛擬機器中使用核准的應用程式
功能
雲端Microsoft Defender - 自適性應用程式控制
描述:服務可以使用雲端Microsoft Defender中的自適性應用程式控制,限制在虛擬機器上執行的客戶應用程式。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
功能附注:Azure HDInsight 原生不支援 Defender;不過,它會使用 ClamAV。 此外,使用 ESP for HDInsight 時,您可以使用一些適用于雲端內建威脅偵測功能的Microsoft Defender。 您也可以為與 HDInsight 相關聯的 VM 啟用Microsoft Defender。
設定指引:不支援此功能來保護此服務。
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
功能
適用於服務/產品供應項目的 Microsoft Defender
描述:服務具有供應專案特定的Microsoft Defender解決方案,可監視和警示安全性問題。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
LT-4:啟用安全性調查的記錄
功能
Azure 資源記錄
描述:服務會產生可提供增強服務特定計量和記錄的資源記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的資料接收,例如儲存體帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:活動記錄會自動提供。 這些記錄包含 HDInsight 資源的所有 PUT、POST 和 DELETE 作業,但不包括 GET (GET) 。 您可以使用活動記錄來尋找疑難排解時的錯誤,或監視組織中使用者修改資源的方式。
啟用 HDInsight 的 Azure 資源記錄。 您可以使用適用於雲端的 Microsoft Defender 和 Azure 原則,來啟用資源記錄和記錄資料收集。 這些記錄對於調查安全性事件和執行鑒識練習而言非常重要。
HDInsight 也會產生本機管理帳戶的安全性稽核記錄。 啟用這些本機系統管理員稽核記錄。
設定指引:啟用服務的資源記錄。 例如,金鑰保存庫針對從金鑰保存庫取得秘密的動作支援額外的資源記錄,而Azure SQL具有追蹤資料庫要求的資源記錄。 資源記錄的內容會依 Azure 服務和資源類型而有所不同。
態勢與弱點管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:狀態和弱點管理。
PV-3:定義和建立計算資源的安全設定
功能
Azure 自動化狀態設定
描述:Azure 自動化 狀態設定可用來維護作業系統的安全性設定。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能資訊:Azure HDInsight 作業系統映射是由 Microsoft 管理和維護。 不過,客戶須負責實作該映射的 OS 層級狀態設定。 與Azure 自動化 狀態設定結合的 Microsoft VM 範本有助於符合和維護安全性需求。
設定指引:使用Azure 自動化 狀態設定維護作業系統的安全性設定。
Azure 原則客體設定代理程式
描述:Azure 原則客體設定代理程式可以安裝或部署為計算資源的擴充功能。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:這項功能設定目前沒有 Microsoft 指導方針。 請檢閱並判斷您的組織是否要設定此安全性功能。
參考: 瞭解 Azure Automanage 的機器設定功能
自訂 VM 映射
描述:服務支援使用使用者提供的 VM 映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
自訂容器映射
描述:服務支援使用使用者提供的容器映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
PV-5:執行弱點評定
功能
使用 Microsoft Defender 的弱點評量
描述:服務可以使用雲端或其他Microsoft Defender服務內嵌弱點評估功能來掃描弱點 Microsoft Defender掃描, (包括伺服器、容器登錄、App Service、SQL App Service、SQL 和 DNS) 的Microsoft Defender。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure HDInsight 不支援原生弱點評估的Microsoft Defender,它會使用 ClamAV 進行惡意程式碼防護。 不過,使用 ESP for HDInsight 時,您可以使用一些適用于雲端內建威脅偵測功能的Microsoft Defender。 您也可以為與 HDInsight 相關聯的 VM 啟用Microsoft Defender。
將任何記錄從 HDInsight 轉送到您的 SIEM,可用來設定自訂威脅偵測。 請確定您監視不同類型的 Azure 資產是否有潛在威脅和異常。 專注于取得高品質的警示,以減少分析師要排序的誤判。 警示的來源可以是記錄資料、代理程式或其他資料。
設定指引:遵循雲端Microsoft Defender的建議,以在 Azure 虛擬機器、容器映射和 SQL 伺服器上執行弱點評估。
注意:Azure HDInsight 原生不支援 Defender,它會使用 ClamAV。 不過,使用 ESP for HDInsight 時,您可以使用一些適用于雲端內建威脅偵測功能的Microsoft Defender。 您也可以為與 HDInsight 相關聯的 VM 啟用Microsoft Defender。
將任何記錄從 HDInsight 轉送到您的 SIEM,可用來設定自訂威脅偵測。 請確定您監視不同類型的 Azure 資產是否有潛在威脅和異常。 專注于取得高品質的警示,以減少分析師要排序的誤判。 警示的來源可以是記錄資料、代理程式或其他資料。
PV-6:快速自動補救弱點
功能
Azure 自動化更新管理
描述:服務可以使用Azure 自動化更新管理來自動部署修補程式和更新。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 共用 |
功能附注:Ubuntu 映射會在發行後的三個月內可供新的 Azure HDInsight 叢集建立使用。 未自動修補執行中的叢集。 客戶必須使用指令碼動作或其他機制修補執行中的叢集。 最佳做法是,執行這些指令碼動作,並在叢集建立後立即套用安全性更新。
設定指引:使用Azure 自動化更新管理或協力廠商解決方案,以確保 Windows 和 Linux VM 上安裝最新的安全性更新。 對於 Windows VM,請確定已啟用 Windows Update,並設定為自動更新。
注意:Ubuntu 映射會在發行後的三個月內可供新的 Azure HDInsight 叢集建立使用。 執行中的叢集不會自動修補。 客戶必須使用指令碼動作或其他機制修補執行中的叢集。 最佳做法是,執行這些指令碼動作,並在叢集建立後立即套用安全性更新。
參考: 更新管理概觀
端點安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:端點安全性。
ES-1:使用端點偵測及回應 (EDR)
功能
EDR 解決方案
描述:端點偵測和回應 (EDR) 功能,例如適用于伺服器的 Azure Defender 可以部署到端點。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:Azure HDInsight 不支援原生適用於端點的 Microsoft Defender,它會使用 ClamAV 進行惡意程式碼防護。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
ES-2:使用新式反惡意程式碼軟體
功能
反惡意程式碼解決方案
描述:Microsoft Defender防毒軟體等反惡意程式碼功能,可在端點上部署適用於端點的 Microsoft Defender。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:Azure HDInsight 使用 ClamAV。 將 ClamAV 記錄轉送至集中式 SIEM 或其他偵測和警示系統。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 安全性和憑證
ES-3:確定反惡意程式碼軟體和簽章已更新
功能
反惡意程式碼解決方案健全狀況監視
描述:反惡意程式碼解決方案提供平臺、引擎和自動簽章更新的健康狀態監視。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附注:Azure HDInsight 隨附針對叢集節點映射預先安裝並啟用 Clamscan。 Clamscan 會根據 ClamAV 的官方病毒簽章資料庫,自動執行引擎和定義更新,並更新其反惡意程式碼簽章。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 安全性和憑證
備份與復原
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
功能
Azure 備份
描述:服務可由Azure 備份服務備份。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
服務原生備份功能
描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:HBase 匯出和 HBase 複寫是啟用 HDInsight HBase 叢集之間商務持續性的常見方式。
HBase 匯出是一種批次複寫流程,其會使用 HBase 匯出公用程式,將資料表從主要 HBase 叢集匯出至其基礎 Azure Data Lake Storage Gen 2 儲存體。 然後,您可以從次要 HBase 叢集存取匯出的資料,並將其匯入至必須預先存在於次要叢集的資料表。 雖然 HBase 匯出確實提供資料表層級細微性,但在累加更新的情況下,匯出自動化引擎會控制每次執行要包含的累加資料列範圍。
設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。
參考:為 HDInsight 上的 Apache HBase 和 Apache Phoenix 設定備份和複寫
下一步
- 請參閱 Microsoft 雲端安全性基準測試概觀
- 深入了解 Azure 資訊安全性基準