HDInsight 用の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを HDInsight に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと HDInsight に適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
HDInsight に適用できない機能は除外されています。 HDInsight を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 完全な HDInsight セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、HDInsight の影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | 分析 |
| お客様は HOST/OS にアクセスできます | [読み取り専用] |
| サービスは顧客の仮想ネットワークにデプロイできます | True |
| 保存中の顧客コンテンツを格納します | True |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure HDInsight の境界セキュリティは、仮想ネットワークを介して実現されます。 エンタープライズ管理者は、仮想ネットワーク内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。
構成ガイダンス: サービスを仮想ネットワークにデプロイします。 パブリック IP をリソースに直接割り当てる強力な理由がない限り、(該当する場合は) プライベート IP をリソースに割り当てます。
注: アプリケーションとエンタープライズセグメント化戦略に基づいて、NSG ルールに基づいて内部リソース間のトラフィックを制限または許可します。 3 層アプリのような特定の適切に定義されたアプリケーションでは、これが高度にセキュリティで保護された既定での拒否になります。
リファレンス: Azure HDInsight の仮想ネットワークを計画する
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure HDInsight の境界セキュリティは、仮想ネットワークを介して実現されます。 エンタープライズ管理者は、仮想ネットワーク内にクラスターを作成し、ネットワーク セキュリティ グループ (NSG) を使用して仮想ネットワークへのアクセスを制限できます。 Azure HDInsight クラスターと通信できるのは、NSG の受信規則で許可されている IP アドレスだけです。 この構成では、境界セキュリティを提供します。 仮想ネットワークにデプロイされているすべてのクラスターにも、プライベート エンドポイントがあります。 エンドポイントは、Virtual Network 内のプライベート IP アドレスに解決されます。 それにより、クラスター ゲートウェイへのプライベート HTTP アクセスが提供されます。
アプリケーションとエンタープライズのセグメント化戦略に基づき、NSG ルールに基づいて、内部リソース間のトラフィックを制限または許可します。 3 層アプリのような特定の適切に定義されたアプリケーションでは、これが高度にセキュリティで保護された既定での拒否になります。
通常、すべての種類のクラスターで必要なポート:
22-23 - クラスター リソースへの SSH アクセス
443 - Ambari、WebHCat REST API、HiveServer ODBC、JDBC
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
リファレンス: Azure HDInsight でのネットワーク トラフィックの制御
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG やAzure Firewallと混同しないように)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Private Linkを使用して、インターネットを通過することなく、仮想ネットワークから HDInsight へのプライベート アクセスを有効にします。 プライベート アクセスは、Azure 認証とトラフィック セキュリティに多層防御手段を追加します。
構成ガイダンス: Private Link機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
注: Azure Private Linkを使用して、インターネットを通過せずに仮想ネットワークから HDInsight へのプライベート アクセスを有効にします。 プライベート アクセスは、Azure 認証とトラフィック セキュリティに多層防御手段を追加します。
リファレンス: HDInsight クラスターでPrivate Linkを有効にする
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG やAzure Firewallではなく) または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービス レベルの IP ACL フィルター規則またはパブリック ネットワーク アクセス用の切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: Azure HDInsight でのパブリック接続の制限
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: データ プレーンアクセスを制御するための既定の認証方法として Azure Active Directory (Azure AD) を使用します。
リファレンス: Azure HDInsight のエンタープライズ セキュリティの概要
データ プレーン アクセスのローカル認証方法
説明: ローカルユーザー名やパスワードなど、データ プレーンアクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: HDI クラスターが作成されると、データ プレーン (Apache Ambari) に 2 つのローカル管理者アカウントが作成されます。 クラスター作成者によって資格情報が渡されるユーザーに対応する 1 つ。 もう 1 つは HDI コントロール プレーンによって作成されます。 HDI コントロール プレーンでは、このアカウントを使用してデータ プレーン呼び出しを行います。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な場合は Azure AD を使用して認証します。
構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションでは、マネージド ID を使用した認証がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル 管理 アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: HDI クラスターが作成されると、データ プレーン (Apache Ambari) に 2 つのローカル管理者アカウントが作成されます。 クラスター作成者によって資格情報が渡されるユーザーに対応する 1 つ。 もう 1 つは HDI コントロール プレーンによって作成されます。 HDI コントロール プレーンでは、このアカウントを使用してデータ プレーン呼び出しを行います。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な場合は Azure AD を使用して認証します。
構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。
PA-7: Just Enough Administration (最小限の特権の原則) に従う
機能
Azure RBAC for Data Plane
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能ノート: データ プレーンでは、Ambari ベースのロールのみがサポートされます。 詳細な ACL は Ranger を介して行われます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、HDInsight ではカスタマー ロックボックスがサポートされます。 それには、顧客データへのアクセス要求を確認し、承認または拒否するためのインターフェイスが用意されています。
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、各 Microsoft のデータ アクセス要求を承認または拒否します。
リファレンス: Microsoft Azure のカスタマー ロックボックス
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure HDInsight デプロイに関連するリソースにタグを使用して、機密情報を格納または処理する Azure リソースの追跡に役立ちます。 Microsoft Purview を使用して機密データを分類して識別します。 HDInsight クラスターに関連付けられた SQL データベースまたは Azure ストレージ アカウントに格納されているすべてのデータに対して、サービスを使用します。
Microsoft が管理する基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱います。 Microsoft は、お客様のデータを損失や漏洩から保護するためにあらゆることを行います。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。
構成ガイダンス: Azure Purview、Azure Information Protection、Azure SQL データの検出と分類などのツールを使用して、Azure、オンプレミス、Microsoft 365、またはその他の場所にある機密データを一元的にスキャン、分類、ラベル付けします。
リファレンス: Azure 顧客データ保護
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスでは、(顧客のコンテンツ内の) 機密データの移動を監視するための DLP ソリューションがサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
機能ノート: HDInsight では、TLS v1.2 以降を使用した転送中のデータ暗号化がサポートされています。 転送中のすべての機密情報を暗号化します。 Azure HDInsight クラスターまたはクラスター データ ストア (Azure Storage アカウントまたは Azure Data Lake Storage Gen1/Gen2) に接続しているすべてのクライアントにおいて、TLS 1.2 以上をネゴシエートできることを確認します。 Microsoft Azure リソースでは、既定で TLS 1.2 をネゴシエートします。
アクセス制御を補完するために、トラフィック キャプチャなどの "帯域外" 攻撃から転送中のデータを保護します。 暗号化を使用して、攻撃者がデータを簡単に読み取ったり変更したりできないようにします。
リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 SSL、TLS、SSH の古いバージョンとプロトコル、および弱い暗号は無効にする必要があります。
構成ガイダンス: 転送中のネイティブ データ暗号化機能が組み込まれているサービスでセキュリティで保護された転送を有効にします。 任意の Web アプリケーションとサービスに HTTPS を適用し、TLS v1.2 以降が使用されていることを確認します。 SSL 3.0、TLS v1.0 などのレガシ バージョンは無効にする必要があります。 Virtual Machinesのリモート管理には、暗号化されていないプロトコルではなく SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。
注: HDInsight では、TLS v1.2 以降を使用した転送中のデータ暗号化がサポートされています。 転送中のすべての機密情報を暗号化します。 Azure HDInsight クラスターまたはクラスター データ ストア (Azure Storage アカウントまたは Azure Data Lake Storage Gen1/Gen2) に接続しているすべてのクライアントにおいて、TLS 1.2 以上をネゴシエートできることを確認します。 Microsoft Azure リソースでは、既定で TLS 1.2 をネゴシエートします。
アクセス制御を補完するために、トラフィック キャプチャなどの "帯域外" 攻撃から転送中のデータを保護します。 暗号化を使用して、攻撃者がデータを簡単に読み取ったり変更したりできないようにします。
リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 SSL、TLS、SSH の古いバージョンとプロトコル、および弱い暗号は無効にする必要があります。
既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のすべての顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
機能に関するメモ: Azure SQL Database を使用して Apache Hive と Apache Oozie のメタデータを格納する場合は、SQL データが常に暗号化されたままになります。 Azure ストレージ アカウントと Data Lake Storage (Gen1 または Gen2) では、Microsoft が暗号化キーを管理できるようにすることをお勧めします。ただし、必要に応じて、自分でキーを管理することもできますす。
HDInsight では、次の複数の種類の暗号化が 2 つの異なるレイヤーでサポートされています。
サーバー側暗号化 (SSE): SSE は、ストレージ サービスによって実行されます。 HDInsight で SSE は、OS ディスクとデータ ディスクの暗号化に使用されます。 既定で有効です。 SSE は、レイヤー 1 の暗号化サービスです。
プラットフォーム マネージド キーを使用したホストでの暗号化: SSE と同様に、この種の暗号化はストレージ サービスによって実行されます。 ただし、これは一時ディスク専用であり、既定では有効になっていません。 ホストでの暗号化も、レイヤー 1 の暗号化サービスです。
カスタマー マネージド キーを使用した保存時の暗号化: この種類の暗号化は、データ ディスクと一時ディスクに使用できます。 既定では有効になっておらず、Azure Key Vault を使用して顧客が独自のキーを指定する必要があります。 保存時の暗号化は、レイヤー 2 の暗号化サービスです。
構成ガイダンス: サービスによって自動的に構成されていないプラットフォームマネージド (Microsoft マネージド) キーを使用して、保存データの暗号化を有効にします。
注: Azure SQL Database を使用して Apache Hive と Apache Oozie のメタデータを格納する場合は、SQL データが常に暗号化されたままになります。 Azure ストレージ アカウントと Data Lake Storage (Gen1 または Gen2) では、Microsoft が暗号化キーを管理できるようにすることをお勧めします。ただし、必要に応じて、自分でキーを管理することもできますす。
HDInsight では、次の複数の種類の暗号化が 2 つの異なるレイヤーでサポートされています。
サーバー側暗号化 (SSE): SSE は、ストレージ サービスによって実行されます。 HDInsight で SSE は、OS ディスクとデータ ディスクの暗号化に使用されます。 既定で有効です。 SSE は、レイヤー 1 の暗号化サービスです。
プラットフォーム マネージド キーを使用したホストでの暗号化: SSE と同様に、この種の暗号化はストレージ サービスによって実行されます。 ただし、これは一時ディスク専用であり、既定では有効になっていません。 ホストでの暗号化も、レイヤー 1 の暗号化サービスです。
カスタマー マネージド キーを使用した保存時の暗号化: この種類の暗号化は、データ ディスクと一時ディスクに使用できます。 既定では有効になっておらず、Azure Key Vault を使用して顧客が独自のキーを指定する必要があります。 保存時の暗号化は、レイヤー 2 の暗号化サービスです。
リファレンス: 保存データの Azure HDInsight の二重暗号化
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
機能に関するメモ: Azure SQL Database を使用して Apache Hive と Apache Oozie のメタデータを格納する場合は、SQL データが常に暗号化されたままになります。 Azure ストレージ アカウントと Data Lake Storage (Gen1 または Gen2) では、Microsoft が暗号化キーを管理できるようにすることをお勧めします。ただし、必要に応じて、自分でキーを管理することもできますす。
HDInsight では、次の複数の種類の暗号化が 2 つの異なるレイヤーでサポートされています。
サーバー側暗号化 (SSE): SSE は、ストレージ サービスによって実行されます。 HDInsight で SSE は、OS ディスクとデータ ディスクの暗号化に使用されます。 既定で有効です。 SSE は、レイヤー 1 の暗号化サービスです。
プラットフォーム マネージド キーを使用したホストでの暗号化: SSE と同様に、この種の暗号化はストレージ サービスによって実行されます。 ただし、これは一時ディスク専用であり、既定では有効になっていません。 ホストでの暗号化も、レイヤー 1 の暗号化サービスです。
カスタマー マネージド キーを使用した保存時の暗号化: この種類の暗号化は、データ ディスクと一時ディスクに使用できます。 既定では有効になっておらず、Azure Key Vault を使用して顧客が独自のキーを指定する必要があります。 保存時の暗号化は、レイヤー 2 の暗号化サービスです。
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 それらのサービスでカスタマー マネージド キーを使って、保存データ暗号化を有効にして実装します。
注: Azure SQL Database を使用して Apache Hive と Apache Oozie のメタデータを格納する場合は、SQL データが常に暗号化されたままになります。 Azure ストレージ アカウントと Data Lake Storage (Gen1 または Gen2) では、Microsoft が暗号化キーを管理できるようにすることをお勧めします。ただし、必要に応じて、自分でキーを管理することもできますす。
HDInsight では、次の複数の種類の暗号化が 2 つの異なるレイヤーでサポートされています。
サーバー側暗号化 (SSE): SSE は、ストレージ サービスによって実行されます。 HDInsight で SSE は、OS ディスクとデータ ディスクの暗号化に使用されます。 既定で有効です。 SSE は、レイヤー 1 の暗号化サービスです。
プラットフォーム マネージド キーを使用したホストでの暗号化: SSE と同様に、この種の暗号化はストレージ サービスによって実行されます。 ただし、これは一時ディスク専用であり、既定では有効になっていません。 ホストでの暗号化も、レイヤー 1 の暗号化サービスです。
カスタマー マネージド キーを使用した保存時の暗号化: この種類の暗号化は、データ ディスクと一時ディスクに使用できます。 既定では有効になっておらず、Azure Key Vault を使用して顧客が独自のキーを指定する必要があります。 保存時の暗号化は、レイヤー 2 の暗号化サービスです。
リファレンス: 保存データの Azure HDInsight の二重暗号化
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
機能に関するメモ: Azure SQL Database を使用して Apache Hive と Apache Oozie のメタデータを格納する場合は、SQL データが常に暗号化されたままになります。 Azure ストレージ アカウントと Data Lake Storage (Gen1 または Gen2) では、Microsoft が暗号化キーを管理できるようにすることをお勧めします。ただし、必要に応じて、自分でキーを管理することもできますす。
HDInsight では、次の複数の種類の暗号化が 2 つの異なるレイヤーでサポートされています。
サーバー側暗号化 (SSE): SSE は、ストレージ サービスによって実行されます。 HDInsight で SSE は、OS ディスクとデータ ディスクの暗号化に使用されます。 既定で有効です。 SSE は、レイヤー 1 の暗号化サービスです。
プラットフォーム マネージド キーを使用したホストでの暗号化: SSE と同様に、この種の暗号化はストレージ サービスによって実行されます。 ただし、これは一時ディスク専用であり、既定では有効になっていません。 ホストでの暗号化も、レイヤー 1 の暗号化サービスです。
カスタマー マネージド キーを使用した保存時の暗号化: この種類の暗号化は、データ ディスクと一時ディスクに使用できます。 既定では有効になっておらず、Azure Key Vault を使用して顧客が独自のキーを指定する必要があります。 保存時の暗号化は、レイヤー 2 の暗号化サービスです。
構成ガイダンス: Azure Key Vaultを使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナーにキー暗号化キー (KEK) を使用して別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vaultに登録され、サービスまたはアプリケーションのキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに持ち込む必要がある場合 (オンプレミスの HSM から Azure Key Vaultに HSM で保護されたキーをインポートする場合など)、初期キーの生成とキー転送を実行するための推奨ガイドラインに従ってください。
注: Azure HDInsight デプロイで Azure Key Vaultを使用している場合は、バックアップされたカスタマー マネージド キーの復元を定期的にテストします。
リファレンス: 保存データの Azure HDInsight の二重暗号化
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: 保存データの Azure HDInsight の二重暗号化
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policyを使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: "Microsoft.HDInsight" 名前空間のAzure Policyエイリアスを使用して、カスタム ポリシーを作成します。 HDInsight クラスターのネットワーク構成を監査または適用するようにポリシーを構成します。
Rapid7、Qualys、またはその他の脆弱性管理プラットフォーム サブスクリプションを持っている場合は、オプションがあります。 スクリプト アクションを使用して Azure HDInsight クラスター ノードに脆弱性評価エージェントをインストールして、各ポータルからノードを管理できます。
Azure HDInsight ESP を利用すると、Apache Ranger を使用して、きめ細かいアクセス制御とデータ難読化ポリシーを作成して管理することができます。 ファイル/フォルダー/データベース/テーブル/行/列に格納されているデータに対してこれを行うことができます。
Hadoop 管理者は、Apache Ranger 上でそれらのプラグインを使用して、Azure RBAC を構成して Apache Hive、HBase、Kafka、および Spark をセキュリティ保護できます。
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するためのAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Azure HDInsight の組み込み定義をAzure Policyする
AM-5: 承認されたアプリケーションのみを仮想マシンで使用する
機能
クラウドのMicrosoft Defender - 適応型アプリケーション制御
説明: サービスでは、Microsoft Defender for Cloud でアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
機能ノート: Azure HDInsight では、Defender はネイティブにサポートされていません。ただし、ClamAV を使用します。 さらに、HDInsight 用 ESP を使用する場合は、クラウドの組み込み脅威検出機能の一部のMicrosoft Defenderを使用できます。 また、HDInsight に関連付けられている VM に対して Microsoft Defender を有効にすることもできます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視してアラートを生成するためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: アクティビティ ログは自動的に使用できます。 ログには、HDInsight リソースに対する GET 操作以外のすべての PUT、POST、DELETE 操作が記録されますが、読み取り操作 (GET) は記録されません。 アクティビティ ログを使用して、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースを変更した方法を監視したりできます。
HDInsight に対して Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントを調査したり、科学捜査を実施したりするために重要な場合があります。
HDInsight では、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 これらのローカル管理者監査ログを有効にします。
構成ガイダンス: サービスのリソース ログを有効にします。 たとえば、Key Vaultでは、キー コンテナーからシークレットを取得するアクションや、データベースへの要求を追跡するリソース ログAzure SQLに対する追加のリソース ログがサポートされています。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。
リファレンス: HDInsight クラスターのログを管理する
体制と脆弱性の管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性管理」を参照してください。
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
機能
Azure Automation State Configuration
説明: Azure Automation State Configurationを使用して、オペレーティング システムのセキュリティ構成を維持できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure HDInsight オペレーティング システム イメージは、Microsoft によって管理および管理されます。 ただし、お客様は、そのイメージの OS レベルの状態構成を実装する責任があります。 Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせることで、セキュリティ要件を満たして維持するのに役立ちます。
構成ガイダンス: Azure Automation State Configurationを使用して、オペレーティング システムのセキュリティ構成を維持します。
リファレンス: Azure Automation State Configurationの概要
ゲスト構成エージェントのAzure Policy
説明: ゲスト構成エージェントAzure Policy、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 organizationがこのセキュリティ機能を構成するかどうかを確認して確認してください。
リファレンス: Azure Automanage のマシン構成機能について
カスタム VM イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
カスタム コンテナー イメージ
説明: サービスでは、ユーザー指定のコンテナー イメージまたはマーケットプレースの事前構築済みイメージを使用し、特定のベースライン構成が事前に適用されています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PV-5: 脆弱性評価を実行する
機能
Microsoft Defenderを使用した脆弱性評価
説明: サービスは、クラウドのMicrosoft Defenderまたはその他のMicrosoft Defender サービスの埋め込み脆弱性評価機能 (サーバー、コンテナー レジストリ、App Service、SQL、DNS のMicrosoft Defenderを含む) を使用して脆弱性スキャンをスキャンできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: Azure HDInsight では、脆弱性評価のMicrosoft Defenderはネイティブでサポートされていません。マルウェア保護には ClamAV が使用されます。 ただし、HDInsight に ESP を使っているときは、Microsoft Defender for Cloud の組み込み脅威検出機能の一部を使用できます。 また、HDInsight に関連付けられている VM に対して Microsoft Defender を有効にすることもできます。
HDInsight から SIEM に、カスタム脅威検出を設定するために使用できるログを転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。
構成ガイダンス: Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行するために、Microsoft Defender for Cloud の推奨事項に従います。
注: Azure HDInsight は Defender をネイティブにサポートしていません。これは、ClamAV を使用します。 ただし、HDInsight に ESP を使っているときは、Microsoft Defender for Cloud の組み込み脅威検出機能の一部を使用できます。 また、HDInsight に関連付けられている VM に対して Microsoft Defender を有効にすることもできます。
HDInsight から SIEM に、カスタム脅威検出を設定するために使用できるログを転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。
PV-6: 脆弱性を迅速かつ自動的に修復する
機能
Azure Automation の Update Management
説明: サービスでは、Azure Automation Update Management を使用して、パッチと更新プログラムを自動的に展開できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有 |
機能に関するメモ: Ubuntu イメージは、発行されてから 3 か月以内に新しい Azure HDInsight クラスターの作成に使用できるようになります。 実行中のクラスターには自動パッチが適用されません。 お客様は、スクリプトによるアクションまたはその他のメカニズムを使用して、実行中のクラスターに修正プログラムを適用する必要があります。 ベスト プラクティスとして、これらのスクリプト アクションを実行し、クラスターの作成直後にセキュリティ更新プログラムを適用することができます。
構成ガイダンス: Azure Automation Update Management またはサードパーティ ソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされていることを確認します。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。
注: Ubuntu イメージは、発行されてから 3 か月以内に新しい Azure HDInsight クラスターの作成に使用できるようになります。 実行中のクラスターに修正プログラムが自動適用されることはありません。 お客様は、スクリプトによるアクションまたはその他のメカニズムを使用して、実行中のクラスターに修正プログラムを適用する必要があります。 ベスト プラクティスとして、これらのスクリプト アクションを実行し、クラスターの作成直後にセキュリティ更新プログラムを適用することができます。
リファレンス: Update Management の概要
エンドポイントのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。
ES-1:エンドポイントでの検出と対応 (EDR) を使用する
機能
EDR ソリューション
説明: Azure Defender for servers などのエンドポイント検出と応答 (EDR) 機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure HDInsight では、Microsoft Defender for Endpointネイティブではサポートされていません。マルウェア保護には ClamAV が使用されます。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: クラスターで無効 Clamscan にできますか?
ES-2: 最新のマルウェア対策ソフトウェアを使用する
機能
マルウェア対策ソリューション
説明: Microsoft Defender ウイルス対策、Microsoft Defender for Endpointなどのマルウェア対策機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure HDInsight では、ClamAV が使用されます。 ClamAV のログを、集中管理された SIEM または他の検出およびアラート システムに転送します。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: セキュリティと証明書
ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする
機能
マルウェア対策ソリューションの正常性の監視
説明: マルウェア対策ソリューションは、プラットフォーム、エンジン、および自動署名更新プログラムの正常性状態の監視を提供します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure HDInsight には、クラスター ノード イメージに対してクラムスキャンがプレインストールされ、有効になっています。 Clamscan は、エンジンと定義の更新を自動的に実行し、ClamAV の公式ウイルス署名データベースに基づいてマルウェア対策のシグネチャを更新します。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: セキュリティと証明書
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
説明: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: HBase エクスポートと HBase レプリケーションは、HDInsight HBase クラスター間のビジネス継続性を有効にする一般的な方法です。
HBase エクスポートは、HBase エクスポート ユーティリティを使用して、プライマリ HBase クラスターからその基になる Azure Data Lake Storage Gen 2 ストレージにテーブルをエクスポートするバッチ レプリケーション プロセスです。 エクスポートされたデータには、セカンダリ HBase クラスターからアクセスして、テーブル (セカンダリにあらかじめ存在している必要があります) にインポートすることができます。 HBase のエクスポートはテーブル レベルの細かさを提供しますが、増分更新の場合、エクスポート オートメーション エンジンによって、各実行に含まれる増分行の範囲が制御されます。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。
リファレンス: HDInsight 上の Apache HBase と Apache Phoenix のバックアップとレプリケーションを設定する
次の手順
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する