HDInsight에 대한 Azure 보안 기준
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 의 지침을 HDInsight에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 HDInsight에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
HDInsight에 적용되지 않는 기능은 제외되었습니다. HDInsight가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑하는 방법을 보려면 전체 HDInsight 보안 기준 매핑 파일을 참조하세요.
보안 프로필
보안 프로필에는 HDInsight의 영향력이 큰 동작이 요약되어 있어 보안 고려 사항이 증가할 수 있습니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 분석 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 읽기 전용 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | True |
| 미사용 고객 콘텐츠 저장 | True |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안을 참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 Virtual Network(VNet)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure HDInsight의 경계 보안은 가상 네트워크를 통해 달성됩니다. 엔터프라이즈 관리자는 클러스터를 가상 네트워크 내에 만들고, NSG(네트워크 보안 그룹)를 사용하여 가상 네트워크에 대한 액세스를 제한할 수 있습니다.
구성 지침: 가상 네트워크에 서비스를 배포합니다. 리소스에 직접 공용 IP를 할당할 강력한 이유가 없는 한 리소스에 개인 IP를 할당합니다(해당하는 경우).
참고: 애플리케이션 및 엔터프라이즈 구분 전략에 따라 NSG 규칙에 따라 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 3계층 앱과 같이 잘 정의된 특정 애플리케이션의 경우 기본적으로 매우 안전한 거부가 될 수 있습니다.
참조: Azure HDInsight에 대한 가상 네트워크 계획
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure HDInsight의 경계 보안은 가상 네트워크를 통해 달성됩니다. 엔터프라이즈 관리자는 클러스터를 가상 네트워크 내에 만들고, NSG(네트워크 보안 그룹)를 사용하여 가상 네트워크에 대한 액세스를 제한할 수 있습니다. 인바운드 NSG 규칙에 허용된 IP 주소만 Azure HDInsight 클러스터와 통신할 수 있습니다. 이 구성은 경계 보안을 제공합니다. 가상 네트워크에 배포된 모든 클러스터에는 프라이빗 엔드포인트도 있습니다. 엔드포인트는 Virtual Network 내의 개인 IP 주소로 확인됩니다. 클러스터 게이트웨이에 대한 프라이빗 HTTP 액세스를 제공합니다.
애플리케이션 및 기업 세그먼트화 전략을 바탕으로, NSG 규칙에 기반하여 내부 리소스 간의 트래픽을 제한하거나 허용합니다. 3계층 앱과 같이 잘 정의된 특정 애플리케이션의 경우 매우 안전한 기본적 거부가 될 수 있습니다.
일반적으로 모든 유형의 클러스터에 필요한 포트:
22-23 - 클러스터 리소스에 대한 SSH 액세스
443 - Ambari, WebHCat REST API, HiveServer ODBC 및 JDBC
구성 지침: NSG(네트워크 보안 그룹)를 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. 서비스의 열린 포트를 제한하는 NSG 규칙을 만듭니다(예: 신뢰할 수 없는 네트워크에서 관리 포트에 액세스하지 못하도록 방지). 기본값으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽은 허용합니다.
참조: Azure HDInsight에서 네트워크 트래픽 제어
NS-2: 네트워크 컨트롤을 통한 보안 클라우드 서비스
기능
Azure Private Link
설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall 혼동하지 않음). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure Private Link 사용하여 인터넷을 통과하지 않고 가상 네트워크에서 HDInsight에 대한 프라이빗 액세스를 사용하도록 설정합니다. 프라이빗 액세스는 Azure 인증 및 트래픽 보안에 대한 심층 방어 수단을 추가합니다.
구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.
참고: Azure Private Link 사용하여 인터넷을 통과하지 않고 가상 네트워크에서 HDInsight에 대한 프라이빗 액세스를 사용하도록 설정합니다. 프라이빗 액세스는 Azure 인증 및 트래픽 보안에 대한 심층 방어 수단을 추가합니다.
참조: HDInsight 클러스터에서 Private Link 사용
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 서비스 수준 IP ACL 필터링 규칙 또는 공용 네트워크 액세스를 위한 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
참조: Azure HDInsight에서 공용 연결 제한
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리를 참조하세요.
IM-1: 중앙 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: Azure Active Directory(Azure AD)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.
참조: Azure HDInsight의 엔터프라이즈 보안 개요
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: HDI 클러스터를 만들면 데이터 평면(Apache Ambari)에 두 개의 로컬 관리자 계정이 만들어집니다. 클러스터 작성자가 자격 증명을 전달하는 사용자에 해당하는 자격 증명입니다. 다른 하나는 HDI 컨트롤 플레인에 의해 만들어집니다. HDI 컨트롤 플레인은 이 계정을 사용하여 데이터 평면을 호출합니다. 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
IM-3: 애플리케이션 ID를 안전하게 자동으로 관리
기능
관리 ID
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
서비스 주체
설명: 데이터 평면은 서비스 주체를 사용하는 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
IM-7: 조건에 따라 리소스 액세스 제한
기능
데이터 평면에 대한 조건부 액세스
설명: 데이터 평면 액세스는 Azure AD 조건부 액세스 정책을 사용하여 제어할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault 기본 사용을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.
PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한
기능
로컬 관리 계정
설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: HDI 클러스터를 만들면 데이터 평면(Apache Ambari)에 두 개의 로컬 관리자 계정이 만들어집니다. 클러스터 작성자가 자격 증명을 전달하는 사용자에 해당하는 자격 증명입니다. 다른 하나는 HDI 컨트롤 플레인에 의해 만들어집니다. HDI 컨트롤 플레인은 이 계정을 사용하여 데이터 평면을 호출합니다. 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD 사용하여 가능한 경우 인증합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
PA-7: 충분한 관리 수행(최소 권한) 원칙
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: 데이터 평면은 Ambari 기반 역할만 지원합니다. 세분화된 ACL은 Ranger를 통해 수행됩니다.
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정
기능
고객 Lockbox
설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Microsoft가 고객 데이터에 액세스해야 하는 지원 시나리오에서 HDInsight는 고객 Lockbox를 지원합니다. 고객 데이터 액세스 요청을 검토하고 승인하거나 거부할 수 있는 인터페이스를 제공합니다.
구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다.
참조: Microsoft Azure용 고객 Lockbox
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호를 참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure HDInsight 배포와 관련된 리소스에 태그를 사용하여 중요한 정보를 저장하거나 처리하는 Azure 리소스를 추적하는 데 도움을 줍니다. Microsoft Purview를 사용하여 중요한 데이터를 분류하고 식별합니다. SQL 데이터베이스 또는 HDInsight 클러스터에 연결된 Azure Storage 계정에 저장된 모든 데이터에 서비스를 사용합니다.
Microsoft에서 관리하는 기본 플랫폼의 경우 Microsoft는 모든 고객 콘텐츠를 중요한 콘텐츠로 취급합니다. Microsoft는 고객 데이터 손실 및 노출을 방지하기 위해 많은 노력을 기울이고 있습니다. Azure 내에서 고객 데이터를 안전하게 유지하기 위해 Microsoft는 강력한 데이터 보호 제어 및 기능 모음을 구현하고 유지 관리합니다.
구성 지침: Azure Purview, Azure Information Protection 및 Azure SQL 데이터 검색 및 분류와 같은 도구를 사용하여 Azure, 온-프레미스, Microsoft 365 또는 기타 위치에 있는 중요한 데이터를 중앙에서 검사, 분류 및 레이블을 지정합니다.
참조: Azure 고객 데이터 보호
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 유출/손실 방지
설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 암호화 중인 데이터
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
기능 정보: HDInsight는 TLS v1.2 이상을 사용하여 전송 중인 데이터 암호화를 지원합니다. 전송 중인 모든 중요한 정보를 암호화합니다. Azure HDInsight 클러스터 또는 클러스터 데이터 저장소(Azure Storage 계정 또는 Azure Data Lake Storage Gen1/Gen2)에 연결하는 모든 클라이언트에서 TLS 1.2 이상을 협상할 수 있는지 확인합니다. Microsoft Azure 리소스는 기본적으로 TLS 1.2를 협상합니다.
액세스 제어를 보완하려면 트래픽 캡처와 같은 대역 외 공격으로부터 전송 중인 데이터를 보호합니다. 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용합니다.
원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다. 더 이상 사용되지 않는 SSL, TLS, SSH 버전 및 프로토콜, 약한 암호는 사용하지 않도록 설정해야 합니다.
구성 지침: 기본 제공 전송 암호화 기능에 네이티브 데이터가 있는 서비스에서 보안 전송을 사용하도록 설정합니다. 모든 웹 애플리케이션 및 서비스에 HTTPS를 적용하고 TLS v1.2 이상이 사용되는지 확인합니다. SSL 3.0, TLS v1.0과 같은 레거시 버전을 사용하지 않도록 설정해야 합니다. Virtual Machines 원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다.
참고: HDInsight는 TLS v1.2 이상을 사용하여 전송 중인 데이터 암호화를 지원합니다. 전송 중인 모든 중요한 정보를 암호화합니다. Azure HDInsight 클러스터 또는 클러스터 데이터 저장소(Azure Storage 계정 또는 Azure Data Lake Storage Gen1/Gen2)에 연결하는 모든 클라이언트에서 TLS 1.2 이상을 협상할 수 있는지 확인합니다. Microsoft Azure 리소스는 기본적으로 TLS 1.2를 협상합니다.
액세스 제어를 보완하려면 트래픽 캡처와 같은 대역 외 공격으로부터 전송 중인 데이터를 보호합니다. 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 암호화를 사용합니다.
원격 관리의 경우 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다. 더 이상 사용되지 않는 SSL, TLS, SSH 버전 및 프로토콜, 약한 암호는 사용하지 않도록 설정해야 합니다.
Azure는 기본적으로 Azure 데이터 센터 간에 전송 중인 데이터에 대한 암호화를 제공합니다.
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
기능 정보: Azure SQL Database를 사용하여 Apache Hive 및 Apache Oozie 메타데이터를 저장하는 경우 SQL 데이터가 항상 암호화된 상태로 유지되는지 확인합니다. Azure Storage 계정과 Data Lake Storage(Gen1 또는 Gen2)의 경우 Microsoft가 암호화 키를 관리하는 것을 허용하는 것이 좋지만, 사용자가 자신의 키를 관리할 수 있습니다.
HDInsight는 두 가지 계층에서 여러 유형의 암호화를 지원합니다.
SSE(서버 쪽 암호화) - SSE는 스토리지 서비스에 의해 수행됩니다. HDInsight에서 SSE는 OS 디스크 및 데이터 디스크를 암호화하는 데 사용됩니다. 기본적으로 사용하도록 설정되어 있습니다. SSE는 계층 1 암호화 서비스입니다.
플랫폼 관리형 키를 사용하는 호스트에서 암호화 - SSE와 유사하게 이 유형의 암호화는 스토리지 서비스에 의해 수행됩니다. 그러나 임시 디스크용으로만 사용되며 기본적으로 사용하도록 설정되어 있지 않습니다. 호스트의 암호화도 계층 1 암호화 서비스입니다.
고객 관리형 키를 사용하여 미사용 암호화 - 이 유형의 암호화는 데이터 및 임시 디스크에서 사용할 수 있습니다. 기본적으로 사용하도록 설정되어 있지 않으며 고객은 Azure Key Vault를 통해 자신의 키를 제공해야 합니다. 미사용 암호화는 계층 2 암호화 서비스입니다.
구성 지침: 서비스에서 자동으로 구성하지 않는 플랫폼 관리형(Microsoft 관리형) 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정합니다.
참고: Azure SQL Database를 사용하여 Apache Hive 및 Apache Oozie 메타데이터를 저장하는 경우 SQL 데이터가 항상 암호화된 상태로 유지되는지 확인합니다. Azure Storage 계정과 Data Lake Storage(Gen1 또는 Gen2)의 경우 Microsoft가 암호화 키를 관리하는 것을 허용하는 것이 좋지만, 사용자가 자신의 키를 관리할 수 있습니다.
HDInsight는 두 가지 계층에서 여러 유형의 암호화를 지원합니다.
SSE(서버 쪽 암호화) - SSE는 스토리지 서비스에 의해 수행됩니다. HDInsight에서 SSE는 OS 디스크 및 데이터 디스크를 암호화하는 데 사용됩니다. 기본적으로 사용하도록 설정되어 있습니다. SSE는 계층 1 암호화 서비스입니다.
플랫폼 관리형 키를 사용하는 호스트에서 암호화 - SSE와 유사하게 이 유형의 암호화는 스토리지 서비스에 의해 수행됩니다. 그러나 임시 디스크용으로만 사용되며 기본적으로 사용하도록 설정되어 있지 않습니다. 호스트의 암호화도 계층 1 암호화 서비스입니다.
고객 관리형 키를 사용하여 미사용 암호화 - 이 유형의 암호화는 데이터 및 임시 디스크에서 사용할 수 있습니다. 기본적으로 사용하도록 설정되어 있지 않으며 고객은 Azure Key Vault를 통해 자신의 키를 제공해야 합니다. 미사용 암호화는 계층 2 암호화 서비스입니다.
참조: 미사용 데이터에 대한 Azure HDInsight 이중 암호화
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 이용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
기능 정보: Azure SQL Database를 사용하여 Apache Hive 및 Apache Oozie 메타데이터를 저장하는 경우 SQL 데이터가 항상 암호화된 상태로 유지되는지 확인합니다. Azure Storage 계정과 Data Lake Storage(Gen1 또는 Gen2)의 경우 Microsoft가 암호화 키를 관리하는 것을 허용하는 것이 좋지만, 사용자가 자신의 키를 관리할 수 있습니다.
HDInsight는 두 가지 계층에서 여러 유형의 암호화를 지원합니다.
SSE(서버 쪽 암호화) - SSE는 스토리지 서비스에 의해 수행됩니다. HDInsight에서 SSE는 OS 디스크 및 데이터 디스크를 암호화하는 데 사용됩니다. 기본적으로 사용하도록 설정되어 있습니다. SSE는 계층 1 암호화 서비스입니다.
플랫폼 관리형 키를 사용하는 호스트에서 암호화 - SSE와 유사하게 이 유형의 암호화는 스토리지 서비스에 의해 수행됩니다. 그러나 임시 디스크용으로만 사용되며 기본적으로 사용하도록 설정되어 있지 않습니다. 호스트의 암호화도 계층 1 암호화 서비스입니다.
고객 관리형 키를 사용하여 미사용 암호화 - 이 유형의 암호화는 데이터 및 임시 디스크에서 사용할 수 있습니다. 기본적으로 사용하도록 설정되어 있지 않으며 고객은 Azure Key Vault를 통해 자신의 키를 제공해야 합니다. 미사용 암호화는 계층 2 암호화 서비스입니다.
구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 scope 정의합니다. 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.
참고: Azure SQL Database를 사용하여 Apache Hive 및 Apache Oozie 메타데이터를 저장하는 경우 SQL 데이터가 항상 암호화된 상태로 유지되는지 확인합니다. Azure Storage 계정과 Data Lake Storage(Gen1 또는 Gen2)의 경우 Microsoft가 암호화 키를 관리하는 것을 허용하는 것이 좋지만, 사용자가 자신의 키를 관리할 수 있습니다.
HDInsight는 두 가지 계층에서 여러 유형의 암호화를 지원합니다.
SSE(서버 쪽 암호화) - SSE는 스토리지 서비스에 의해 수행됩니다. HDInsight에서 SSE는 OS 디스크 및 데이터 디스크를 암호화하는 데 사용됩니다. 기본적으로 사용하도록 설정되어 있습니다. SSE는 계층 1 암호화 서비스입니다.
플랫폼 관리형 키를 사용하는 호스트에서 암호화 - SSE와 유사하게 이 유형의 암호화는 스토리지 서비스에 의해 수행됩니다. 그러나 임시 디스크용으로만 사용되며 기본적으로 사용하도록 설정되어 있지 않습니다. 호스트의 암호화도 계층 1 암호화 서비스입니다.
고객 관리형 키를 사용하여 미사용 암호화 - 이 유형의 암호화는 데이터 및 임시 디스크에서 사용할 수 있습니다. 기본적으로 사용하도록 설정되어 있지 않으며 고객은 Azure Key Vault를 통해 자신의 키를 제공해야 합니다. 미사용 암호화는 계층 2 암호화 서비스입니다.
참조: 미사용 데이터에 대한 Azure HDInsight 이중 암호화
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault에서 키 관리
설명: 이 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
기능 정보: Azure SQL Database를 사용하여 Apache Hive 및 Apache Oozie 메타데이터를 저장하는 경우 SQL 데이터가 항상 암호화된 상태로 유지되는지 확인합니다. Azure Storage 계정과 Data Lake Storage(Gen1 또는 Gen2)의 경우 Microsoft가 암호화 키를 관리하는 것을 허용하는 것이 좋지만, 사용자가 자신의 키를 관리할 수 있습니다.
HDInsight는 두 가지 계층에서 여러 유형의 암호화를 지원합니다.
SSE(서버 쪽 암호화) - SSE는 스토리지 서비스에 의해 수행됩니다. HDInsight에서 SSE는 OS 디스크 및 데이터 디스크를 암호화하는 데 사용됩니다. 기본적으로 사용하도록 설정되어 있습니다. SSE는 계층 1 암호화 서비스입니다.
플랫폼 관리형 키를 사용하는 호스트에서 암호화 - SSE와 유사하게 이 유형의 암호화는 스토리지 서비스에 의해 수행됩니다. 그러나 임시 디스크용으로만 사용되며 기본적으로 사용하도록 설정되어 있지 않습니다. 호스트의 암호화도 계층 1 암호화 서비스입니다.
고객 관리형 키를 사용하여 미사용 암호화 - 이 유형의 암호화는 데이터 및 임시 디스크에서 사용할 수 있습니다. 기본적으로 사용하도록 설정되어 있지 않으며 고객은 Azure Key Vault를 통해 자신의 키를 제공해야 합니다. 미사용 암호화는 계층 2 암호화 서비스입니다.
구성 지침: Azure Key Vault 사용하여 키 생성, 배포 및 스토리지를 포함하여 암호화 키의 수명 주기를 만들고 제어합니다. 정의된 일정에 따라 또는 키 사용 중지 또는 손상이 있는 경우 Azure Key Vault 및 서비스에서 키를 회전하고 해지합니다. 워크로드, 서비스 또는 애플리케이션 수준에서 CMK(고객 관리형 키)를 사용해야 하는 경우 키 관리에 대한 모범 사례를 따라야 합니다. 키 계층 구조를 사용하여 키 자격 증명 모음에서 KEK(키 암호화 키)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다. 키가 Azure Key Vault 등록되고 서비스 또는 애플리케이션의 키 ID를 통해 참조되는지 확인합니다. 서비스에 BYOK(사용자 고유 키)를 가져와야 하는 경우(예: 온-프레미스 HSM에서 Azure Key Vault HSM 보호 키 가져오기) 권장 지침에 따라 초기 키 생성 및 키 전송을 수행합니다.
참고: Azure HDInsight 배포에서 Azure Key Vault 사용하는 경우 백업된 고객 관리형 키의 복원을 주기적으로 테스트합니다.
참조: 미사용 데이터에 대한 Azure HDInsight 이중 암호화
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault에서 인증 관리
설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 미사용 데이터에 대한 Azure HDInsight 이중 암호화
자산 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자산 관리를 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: 서비스 구성은 Azure Policy 통해 모니터링하고 적용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: "Microsoft.HDInsight" 네임스페이스에서 Azure Policy 별칭을 사용하여 사용자 지정 정책을 만듭니다. Azure HDInsight 클러스터의 네트워크 구성을 감사하거나 적용하도록 정책을 구성합니다.
Rapid7, Qualys 또는 기타 취약성 관리 플랫폼 구독이 있는 경우 몇 가지 옵션이 있습니다. 스크립트 작업을 사용하여 Azure HDInsight 클러스터 노드에 취약성 평가 에이전트를 설치하고 해당 포털을 통해 노드를 관리할 수 있습니다.
Azure HDInsight ESP를 사용하면 Apache Ranger를 사용하여 세분화된 액세스 제어 및 데이터 난독 처리 정책을 만들고 관리할 수 있습니다. 파일/폴더/데이터베이스/테이블/행/열에 저장된 데이터에 대해 이 작업을 수행할 수 있습니다.
Hadoop 관리자는 Apache Ranger의 해당 플러그 인을 사용하여 Apache Hive, HBase, Kafka, Spark를 보호하도록 RBAC를 구성할 수 있습니다.
구성 지침: 클라우드용 Microsoft Defender 사용하여 Azure 리소스의 구성을 감사하고 적용하는 Azure Policy 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. [거부] 및 [존재하지 않는 경우 배포] 효과를 Azure Policy 사용하여 Azure 리소스에 보안 구성을 적용합니다.
참조: Azure HDInsight에 대한 기본 제공 정의 Azure Policy
AM-5: 가상 머신에서 승인된 애플리케이션만 사용
기능
클라우드용 Microsoft Defender - 적응형 애플리케이션 제어
설명: 서비스는 클라우드용 Microsoft Defender 적응형 애플리케이션 제어를 사용하여 가상 머신에서 실행되는 고객 애플리케이션을 제한할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
기능 정보: Azure HDInsight는 기본적으로 Defender를 지원하지 않습니다. 그러나 ClamAV를 사용합니다. 또한 HDInsight용 ESP를 사용하는 경우 클라우드용 Microsoft Defender 기본 제공 위협 탐지 기능 중 일부를 사용할 수 있습니다. HDInsight에 연결된 VM에 대해 Microsoft Defender를 사용하도록 설정할 수도 있습니다.
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
로깅 및 위협 탐지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지를 참조하세요.
LT-1: 위협 탐지 기능 사용하도록 설정
기능
서비스/제품 제공에 대한 Microsoft Defender
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
LT-4: 보안 조사를 위해 로깅 사용
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: 활동 로그는 자동으로 사용할 수 있습니다. 로그에는 읽기 작업(GET)을 제외한 HDInsight 리소스에 대한 모든 PUT, POST 및 DELETE 작업이 포함되지만 GET은 포함되지 않습니다. 활동 로그를 사용하여 문제 해결 시 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.
HDInsight용 Azure 리소스 로그를 사용합니다. Microsoft Defender for Cloud 및 Azure Policy를 사용하여 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 이러한 로그는 보안 인시던트를 조사하고 포렌식 연습을 수행하는 데 중요할 수 있습니다.
HDInsight는 로컬 관리자 계정에 대한 보안 감사 로그도 생성합니다. 이러한 로컬 관리자 감사 로그를 사용하도록 설정합니다.
구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. 예를 들어 Key Vault 키 자격 증명 모음 또는 Azure SQL 데이터베이스에 대한 요청을 추적하는 리소스 로그가 있는 작업에 대한 추가 리소스 로그를 지원합니다. 이러한 로그의 내용은 Azure 서비스와 리소스 종류에 따라 달라집니다.
포스처 및 취약성 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자세 및 취약성 관리를 참조하세요.
PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정
기능
Azure Automation 상태 구성
설명: Azure Automation State Configuration 사용하여 운영 체제의 보안 구성을 유지할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure HDInsight 운영 체제 이미지는 Microsoft에서 관리 및 유지 관리합니다. 그러나 고객은 해당 이미지에 대한 OS 수준 상태 구성을 구현할 책임이 있습니다. Azure Automation State Configuration과 결합된 Microsoft VM 템플릿은 보안 요구 사항을 충족하고 유지하는 데 도움이 될 수 있습니다.
구성 지침: Azure Automation State Configuration 사용하여 운영 체제의 보안 구성을 유지 관리합니다.
참조: Azure Automation State Configuration 개요
Azure Policy 게스트 구성 에이전트
설명: Azure Policy 게스트 구성 에이전트를 컴퓨팅 리소스에 대한 확장으로 설치하거나 배포할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성하려는지 검토하고 확인하세요.
참조: Azure Automanage의 컴퓨터 구성 기능 이해
사용자 지정 VM 이미지
설명: 서비스는 특정 기준 구성이 미리 적용된 마켓플레이스에서 사용자가 제공한 VM 이미지 또는 미리 빌드된 이미지를 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
사용자 지정 컨테이너 이미지
설명: 서비스는 특정 기준 구성이 미리 적용된 마켓플레이스에서 사용자가 제공한 컨테이너 이미지 또는 미리 빌드된 이미지를 사용할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.
PV-5: 취약성 평가 수행
기능
Microsoft Defender 사용하여 취약성 평가
설명: 클라우드용 Microsoft Defender 또는 기타 Microsoft Defender 서비스에 포함된 취약성 평가 기능(서버, 컨테이너 레지스트리, App Service, SQL 및 DNS에 대한 Microsoft Defender 포함)을 사용하여 취약성 검사를 검색할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: Azure HDInsight는 취약성 평가에 대한 Microsoft Defender 기본적으로 지원하지 않으며, 맬웨어 보호를 위해 ClamAV를 사용합니다. 그러나 HDInsight용 ESP를 사용하는 경우 클라우드용 Microsoft Defender 기본 제공 위협 탐지 기능 중 일부를 사용할 수 있습니다. HDInsight에 연결된 VM에 대해 Microsoft Defender를 사용하도록 설정할 수도 있습니다.
사용자 지정 위협 탐지를 설정하는 데 사용할 수 있는 HDInsight의 모든 로그를 SIEM으로 전달합니다. 잠재적인 위협 및 비정상 활동에 대해 다양한 유형의 Azure 자산을 모니터링하고 있는지 확인합니다. 경고의 품질을 높이는 데 집중하여 분석가가 분류하는 가양성을 줄여야 합니다. 경고는 로그 데이터, 에이전트 또는 기타 데이터로부터 제공될 수 있습니다.
구성 지침: Azure 가상 머신, 컨테이너 이미지 및 SQL 서버에서 취약성 평가를 수행하려면 클라우드용 Microsoft Defender 권장 사항을 따릅니다.
참고: Azure HDInsight는 기본적으로 Defender를 지원하지 않으며 ClamAV를 사용합니다. 그러나 HDInsight용 ESP를 사용하는 경우 클라우드용 Microsoft Defender 기본 제공 위협 탐지 기능 중 일부를 사용할 수 있습니다. HDInsight에 연결된 VM에 대해 Microsoft Defender를 사용하도록 설정할 수도 있습니다.
사용자 지정 위협 탐지를 설정하는 데 사용할 수 있는 HDInsight의 모든 로그를 SIEM으로 전달합니다. 잠재적인 위협 및 비정상 활동에 대해 다양한 유형의 Azure 자산을 모니터링하고 있는지 확인합니다. 경고의 품질을 높이는 데 집중하여 분석가가 분류하는 가양성을 줄여야 합니다. 경고는 로그 데이터, 에이전트 또는 기타 데이터로부터 제공될 수 있습니다.
PV-6: 자동으로 신속하게 취약성 수정
기능
Azure Automation 업데이트 관리
설명: 서비스는 Azure Automation 업데이트 관리를 사용하여 패치 및 업데이트를 자동으로 배포할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | 공유됨 |
기능 정보: Ubuntu 이미지는 게시 후 3개월 이내에 새 Azure HDInsight 클러스터 만들기에 사용할 수 있게 됩니다. 실행 중인 클러스터는 자동 패치되지 않습니다. 고객이 스크립트 동작이나 기타 메커니즘을 사용하여 실행 중인 클러스터를 패치해야 합니다. 이 스크립트 작업을 실행하고 클러스터를 만든 직후에 보안 업데이트를 적용하는 것이 좋습니다.
구성 지침: Azure Automation 업데이트 관리 또는 타사 솔루션을 사용하여 최신 보안 업데이트가 Windows 및 Linux VM에 설치되어 있는지 확인합니다. Windows VM의 경우 Windows 업데이트를 사용하도록 설정하고 자동으로 업데이트하도록 설정되어 있는지 확인합니다.
참고: Ubuntu 이미지는 게시 후 3개월 이내에 새 Azure HDInsight 클러스터 만들기에 사용할 수 있게 됩니다. 실행 중인 클러스터는 자동 패치되지 않습니다. 고객이 스크립트 동작이나 기타 메커니즘을 사용하여 실행 중인 클러스터를 패치해야 합니다. 이 스크립트 작업을 실행하고 클러스터를 만든 직후에 보안 업데이트를 적용하는 것이 좋습니다.
참조: 업데이트 관리 개요
엔드포인트 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 엔드포인트 보안을 참조하세요.
ES-1: EDR(엔드포인트 검색 및 응답) 사용
기능
EDR 솔루션
설명: 서버용 Azure Defender와 같은 EDR(엔드포인트 검색 및 응답) 기능을 엔드포인트에 배포할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure HDInsight는 기본적으로 엔드포인트용 Microsoft Defender 지원하지 않으며, 맬웨어 보호를 위해 ClamAV를 사용합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 클러스터에서 사용하지 않도록 설정할 Clamscan 수 있나요?
ES-2: 최신 맬웨어 방지 소프트웨어 사용
기능
맬웨어 방지 솔루션
설명: Microsoft Defender 바이러스 백신과 같은 맬웨어 방지 기능 엔드포인트용 Microsoft Defender 엔드포인트에 배포할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure HDInsight는 ClamAV를 사용합니다. ClamAV 로그를 중앙 집중식 SIEM 또는 기타 검색 및 경고 시스템으로 전달합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 보안 및 인증서
ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인
기능
맬웨어 방지 솔루션 상태 모니터링
설명: 맬웨어 방지 솔루션은 플랫폼, 엔진 및 자동 서명 업데이트에 대한 상태 상태 모니터링을 제공합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | True | Microsoft |
기능 정보: Azure HDInsight는 클러스터 노드 이미지에 대해 Clamscan이 미리 설치되고 사용하도록 설정된 상태로 제공됩니다. Clamscan은 엔진 및 정의 업데이트를 자동으로 수행하고 ClamAV의 공식 바이러스 서명 데이터베이스를 기반으로 맬웨어 방지 서명을 업데이트합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 보안 및 인증서
Backup 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 백업 및 복구를 참조하세요.
BR-1: 자동화된 정기 백업 보장
기능
Azure Backup
설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| False | 해당 사항 없음 | 해당 사항 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
서비스 네이티브 백업 기능
설명: 서비스는 고유한 네이티브 백업 기능을 지원합니다(Azure Backup 사용하지 않는 경우). 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| True | False | Customer |
기능 정보: HBase 내보내기 및 HBase 복제는 HDInsight HBase 클러스터 간에 비즈니스 연속성을 가능하게 하는 일반적인 방법입니다.
HBase 내보내기는 HBase 내보내기 유틸리티를 사용하여 주 HBase 클러스터에서 기본 Azure Data Lake Storage Gen 2 스토리지로 테이블을 내보내는 일괄 처리 복제 프로세스입니다. 내보낸 데이터는 보조 HBase 클러스터에서 액세스하고, 테이블로 가져올 수 있습니다. 이때 보조 클러스터에 있어야 합니다. HBase 내보내기에서는 테이블 수준 세분성을 제공하지만, 증분 업데이트 상황에서 내보내기 자동화 엔진은 각 실행에 포함할 증분 행의 범위를 제어합니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. organization 이 보안 기능을 구성할지 검토하고 확인하세요.
참조: HDInsight에서 Apache HBase 및 Apache Phoenix에 대한 백업 및 복제 설정
다음 단계
- Microsoft 클라우드 보안 벤치마크 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.