Punkt odniesienia zabezpieczeń platformy Azure dla usługi HDInsight
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi HDInsight. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące usługi HDInsight.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje , które nie mają zastosowania do usługi HDInsight, zostały wykluczone. Aby zobaczyć, jak usługa HDInsight całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi HDInsight.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę HDInsight, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Analiza |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Tylko do odczytu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: zabezpieczenia obwodowe w usłudze Azure HDInsight są osiągane za pośrednictwem sieci wirtualnych. Administrator przedsiębiorstwa może utworzyć klaster w sieci wirtualnej i użyć sieciowej grupy zabezpieczeń w celu ograniczenia dostępu do sieci wirtualnej.
Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.
Uwaga: na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji, takich jak aplikacja trójwarstwowa, może to być domyślnie wysoce bezpieczna odmowa.
Informacje ogólne: Planowanie sieci wirtualnej dla usługi Azure HDInsight
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: zabezpieczenia obwodowe w usłudze Azure HDInsight są osiągane za pośrednictwem sieci wirtualnych. Administrator przedsiębiorstwa może utworzyć klaster w sieci wirtualnej i użyć sieciowej grupy zabezpieczeń w celu ograniczenia dostępu do sieci wirtualnej. Tylko dozwolone adresy IP w regułach przychodzącej sieciowej grupy zabezpieczeń mogą komunikować się z klastrem usługi Azure HDInsight. Ta konfiguracja zapewnia zabezpieczenia obwodowe. Wszystkie klastry wdrożone w sieci wirtualnej również będą miały prywatny punkt końcowy. Punkt końcowy zostanie rozpoznany jako prywatny adres IP wewnątrz Virtual Network. Zapewnia prywatny dostęp HTTP do bram klastra.
Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji, takich jak aplikacja trójwarstwowa, może to być domyślnie wysoce bezpieczna odmowa.
Zazwyczaj wymagane porty we wszystkich typach klastrów:
22–23 — Dostęp SSH do zasobów klastra
443 — Ambari, WebHCat REST API, HiveServer ODBC i JDBC
Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i modułów równoważenia obciążenia platformy Azure.
Dokumentacja: Kontrolowanie ruchu sieciowego w usłudze Azure HDInsight
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użyj Azure Private Link, aby umożliwić prywatny dostęp do usługi HDInsight z sieci wirtualnych bez przekraczania internetu. Dostęp prywatny dodaje szczegółową miarę obrony do uwierzytelniania i zabezpieczeń ruchu na platformie Azure.
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure, które obsługują funkcję Private Link, w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Uwaga: użyj Azure Private Link, aby włączyć prywatny dostęp do usługi HDInsight z sieci wirtualnych bez przekraczania Internetu. Dostęp prywatny dodaje szczegółową miarę obrony do uwierzytelniania i zabezpieczeń ruchu na platformie Azure.
Dokumentacja: włączanie Private Link w klastrze usługi HDInsight
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika przełączania na potrzeby dostępu do sieci publicznej.
Dokumentacja: Ograniczanie łączności publicznej w usłudze Azure HDInsight
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: Omówienie zabezpieczeń przedsiębiorstwa w usłudze Azure HDInsight
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: po utworzeniu klastra usługi HDI dwa konta administratora lokalnego są tworzone na płaszczyźnie danych (Apache Ambari). Jeden odpowiadający użytkownikowi, dla którego poświadczenia są przekazywane przez twórcę klastra. Druga jest tworzona przez płaszczyznę sterowania usługi HDI. Płaszczyzna sterowania usługi HDI używa tego konta do wywołań płaszczyzny danych. Unikaj użycia lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Lokalne konta Administracja
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: po utworzeniu klastra usługi HDI dwa konta administratora lokalnego są tworzone na płaszczyźnie danych (Apache Ambari). Jeden odpowiadający użytkownikowi, dla którego poświadczenia są przekazywane przez twórcę klastra. Druga jest tworzona przez płaszczyznę sterowania usługi HDI. Płaszczyzna sterowania usługi HDI używa tego konta do wywołań płaszczyzny danych. Unikaj użycia lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
PA-7: Postępuj zgodnie z zasadą administrowania wystarczającą ilością (najmniejszych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: płaszczyzna danych obsługuje tylko role oparte na systemie Ambari. Szczegółowa lista ACL jest wykonywana za pośrednictwem platformy Ranger.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych klientów, usługa HDInsight obsługuje funkcję Lockbox klienta. Udostępnia interfejs umożliwiający przeglądanie żądań dostępu do danych klientów i ich zatwierdzanie lub odrzucanie.
Wskazówki dotyczące konfiguracji: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do Twoich danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.
Dokumentacja: Skrytka klienta dla platformy Microsoft Azure
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użyj tagów dotyczących zasobów związanych z wdrożeniami usługi Azure HDInsight, aby ułatwić śledzenie zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje. Klasyfikowanie i identyfikowanie poufnych danych przy użyciu usługi Microsoft Purview. Użyj usługi dla wszystkich danych przechowywanych w bazach danych SQL lub kontach usługi Azure Storage skojarzonych z klastrem usługi HDInsight.
W przypadku podstawowej platformy, którą zarządza firma Microsoft, firma Microsoft traktuje całą zawartość klienta jako wrażliwą. Firma Microsoft stara się chronić przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.
Wskazówki dotyczące konfiguracji: Użyj narzędzi, takich jak Azure Purview, Azure Information Protection i Azure SQL odnajdywanie i klasyfikacja danych, aby centralnie skanować, klasyfikować i oznaczać wszystkie poufne dane, które znajdują się na platformie Azure, lokalnie, na platformie Microsoft 365 lub w innych lokalizacjach.
Dokumentacja: Ochrona danych klientów platformy Azure
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Dane w szyfrowaniu tranzytowym
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: usługa HDInsight obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że każdy klient łączący się z klastrem usługi Azure HDInsight lub magazynami danych klastra (konta usługi Azure Storage lub Azure Data Lake Storage Gen1/Gen2) może negocjować protokół TLS 1.2 lub nowszy. Zasoby platformy Microsoft Azure będą domyślnie negocjować protokół TLS 1.2.
Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane przesyłane przed atakami typu "poza pasmem", takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.
W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe protokoły SSL, TLS, SSH i słabe szyfry powinny być wyłączone.
Wskazówki dotyczące konfiguracji: Włącz bezpieczny transfer w usługach, w których wbudowana jest funkcja natywnego szyfrowania danych przesyłanych. Wymuś protokół HTTPS dla dowolnych aplikacji internetowych i usług i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania Virtual Machines należy użyć protokołu SSH (dla systemu Linux) lub RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Uwaga: usługa HDInsight obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że każdy klient łączący się z klastrem usługi Azure HDInsight lub magazynami danych klastra (konta usługi Azure Storage lub Azure Data Lake Storage Gen1/Gen2) może negocjować protokół TLS 1.2 lub nowszy. Zasoby platformy Microsoft Azure będą domyślnie negocjować protokół TLS 1.2.
Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane przesyłane przed atakami typu "poza pasmem", takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.
W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe protokoły SSL, TLS, SSH i słabe szyfry powinny być wyłączone.
Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: Jeśli do przechowywania metadanych Apache Hive i Apache Oozie używasz usługi Azure SQL Database, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak możesz zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest ona domyślnie włączona. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku protokołu SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest on przeznaczony tylko dla dysków tymczasowych i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane jest usługą szyfrowania warstwy 2.
Wskazówki dotyczące konfiguracji: włączanie szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez platformę (zarządzanych przez firmę Microsoft), w przypadku których usługa nie jest konfigurowana automatycznie.
Uwaga: Jeśli do przechowywania metadanych Apache Hive i Apache Oozie używasz usługi Azure SQL Database, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak możesz zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest ona domyślnie włączona. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku protokołu SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest on przeznaczony tylko dla dysków tymczasowych i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane jest usługą szyfrowania warstwy 2.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
DP-5: Użyj opcji klucza zarządzanego przez klienta w szyfrowaniu danych magazynowanych, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: Jeśli do przechowywania metadanych Apache Hive i Apache Oozie używasz usługi Azure SQL Database, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak możesz zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest ona domyślnie włączona. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku protokołu SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest on przeznaczony tylko dla dysków tymczasowych i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane jest usługą szyfrowania warstwy 2.
Wskazówki dotyczące konfiguracji: Jeśli jest to wymagane w celu zapewnienia zgodności z przepisami, zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Uwaga: Jeśli do przechowywania metadanych Apache Hive i Apache Oozie używasz usługi Azure SQL Database, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak możesz zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest ona domyślnie włączona. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku protokołu SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest on przeznaczony tylko dla dysków tymczasowych i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane jest usługą szyfrowania warstwy 2.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: Jeśli do przechowywania metadanych Apache Hive i Apache Oozie używasz usługi Azure SQL Database, upewnij się, że dane SQL zawsze pozostają zaszyfrowane. W przypadku kont usługi Azure Storage i Data Lake Storage (Gen1 lub Gen2) zaleca się zezwolenie firmie Microsoft na zarządzanie kluczami szyfrowania, jednak możesz zarządzać własnymi kluczami.
Usługa HDInsight obsługuje wiele typów szyfrowania w dwóch różnych warstwach:
Szyfrowanie po stronie serwera (SSE) — funkcja SSE jest wykonywana przez usługę magazynu. W usłudze HDInsight funkcja SSE służy do szyfrowania dysków systemu operacyjnego i dysków danych. Jest ona domyślnie włączona. SSE to usługa szyfrowania warstwy 1.
Szyfrowanie na hoście przy użyciu klucza zarządzanego przez platformę — podobnie jak w przypadku protokołu SSE, ten typ szyfrowania jest wykonywany przez usługę magazynu. Jednak jest on przeznaczony tylko dla dysków tymczasowych i nie jest domyślnie włączony. Szyfrowanie na hoście jest również usługą szyfrowania warstwy 1.
Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta — tego typu szyfrowanie może być używane na dyskach danych i dyskach tymczasowych. Nie jest ona domyślnie włączona i wymaga od klienta podania własnego klucza za pośrednictwem usługi Azure Key Vault. Szyfrowanie magazynowane jest usługą szyfrowania warstwy 2.
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływają odwołania za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Uwaga: jeśli używasz usługi Azure Key Vault we wdrożeniu usługi Azure HDInsight, okresowo testujesz przywracanie kopii zapasowych kluczy zarządzanych przez klienta.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Podwójne szyfrowanie danych magazynowanych w usłudze Azure HDInsight
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.HDInsight", aby utworzyć zasady niestandardowe. Skonfiguruj zasady, aby przeprowadzać inspekcję lub wymuszać konfigurację sieci klastra usługi HDInsight.
Jeśli masz subskrypcję platformy zarządzania lukami w zabezpieczeniach Rapid7, Qualys lub inną, masz opcje. Za pomocą akcji skryptu można zainstalować agentów oceny luk w zabezpieczeniach w węzłach klastra usługi Azure HDInsight i zarządzać węzłami za pośrednictwem odpowiedniego portalu.
Korzystając z usługi Azure HDInsight ESP, możesz użyć platformy Apache Ranger do tworzenia szczegółowej kontroli dostępu i zaciemniania danych oraz zarządzania nimi. Możesz to zrobić dla danych przechowywanych w: pliki/foldery/bazy danych/tabele/wiersze/kolumny.
Administrator usługi Hadoop może skonfigurować kontrolę dostępu opartą na rolach platformy Azure w celu zabezpieczenia usług Apache Hive, HBase, Kafka i Spark przy użyciu tych wtyczek w usłudze Apache Ranger.
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Dokumentacja: Azure Policy wbudowane definicje dla usługi Azure HDInsight
AM-5: Używanie tylko zatwierdzonych aplikacji na maszynie wirtualnej
Funkcje
Microsoft Defender dla chmury — adaptacyjne kontrolki aplikacji
Opis: Usługa może ograniczyć aplikacje klienta uruchamiane na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender for Cloud. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: usługa Azure HDInsight nie obsługuje natywnie usługi Defender; jednak używa clamAV. Ponadto w przypadku korzystania z usługi ESP dla usługi HDInsight można użyć niektórych funkcji Microsoft Defender na potrzeby wbudowanego wykrywania zagrożeń w chmurze. Możesz również włączyć Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla oferty usług/produktów
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: dzienniki aktywności są dostępne automatycznie. Dzienniki zawierają wszystkie operacje PUT, POST i DELETE, ale nie GET dla zasobów usługi HDInsight, z wyjątkiem operacji odczytu (GET). Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników w organizacji.
Włączanie dzienników zasobów platformy Azure dla usługi HDInsight. Do włączania dzienników zasobów i zbierania danych dzienników można użyć Microsoft Defender dla chmury i Azure Policy. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i przeprowadzania ćwiczeń kryminalistycznych.
Usługa HDInsight tworzy również dzienniki inspekcji zabezpieczeń dla lokalnych kont administrowania. Włącz te lokalne dzienniki inspekcji administratora.
Wskazówki dotyczące konfiguracji: włączanie dzienników zasobów dla usługi. Na przykład Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają wpis tajny z magazynu kluczy lub Azure SQL mają dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od typu usługi platformy Azure i zasobu.
Dokumentacja: Zarządzanie dziennikami klastra usługi HDInsight
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Usługa State Configuration w usłudze Azure Automation
Opis: Azure Automation State Configuration można użyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Obrazy systemu operacyjnego usługi Azure HDInsight są zarządzane i obsługiwane przez firmę Microsoft. Jednak klient jest odpowiedzialny za implementację konfiguracji stanu na poziomie systemu operacyjnego dla tego obrazu. Szablony maszyn wirtualnych firmy Microsoft połączone z Azure Automation State Configuration mogą pomóc spełnić i utrzymać wymagania dotyczące zabezpieczeń.
Wskazówki dotyczące konfiguracji: użyj Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego.
Dokumentacja: omówienie Azure Automation State Configuration
Agent konfiguracji gościa Azure Policy
Opis: Azure Policy agenta konfiguracji gościa można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Omówienie funkcji konfiguracji maszyny w usłudze Azure Automanage
Niestandardowe obrazy maszyn wirtualnych
Opis: Usługa obsługuje korzystanie z obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy handlowej z niektórymi wstępnie zastosowanymi konfiguracjami odniesienia. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Obrazy kontenerów niestandardowych
Opis: Usługa obsługuje używanie obrazów kontenerów dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy handlowej z niektórymi wstępnie zastosowanymi konfiguracjami odniesienia. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Funkcje
Ocena luk w zabezpieczeniach przy użyciu Microsoft Defender
Opis: Usługę można skanować pod kątem skanowania pod kątem luk w zabezpieczeniach przy użyciu Microsoft Defender w chmurze lub innych usług Microsoft Defender wbudowanych funkcji oceny luk w zabezpieczeniach (w tym Microsoft Defender serwera, rejestru kontenerów, App Service, SQL i DNS). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługa Azure HDInsight nie obsługuje natywnego Microsoft Defender oceny luk w zabezpieczeniach, używa rozwiązania ClamAV do ochrony przed złośliwym oprogramowaniem. Jednak w przypadku korzystania ze strony ze stanem rejestracji dla usługi HDInsight można użyć niektórych funkcji Microsoft Defender dla wbudowanej funkcji wykrywania zagrożeń w chmurze. Możesz również włączyć Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.
Przekaż wszystkie dzienniki z usługi HDInsight do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.
Wskazówki dotyczące konfiguracji: postępuj zgodnie z zaleceniami Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL.
Uwaga: usługa Azure HDInsight nie obsługuje natywnie usługi Defender. Używa ona rozwiązania ClamAV. Jednak w przypadku korzystania ze strony ze stanem rejestracji dla usługi HDInsight można użyć niektórych funkcji Microsoft Defender dla wbudowanej funkcji wykrywania zagrożeń w chmurze. Możesz również włączyć Microsoft Defender dla maszyn wirtualnych skojarzonych z usługą HDInsight.
Przekaż wszystkie dzienniki z usługi HDInsight do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Funkcje
Azure Automation — Update Management
Opis: Usługa może automatycznie wdrażać poprawki i aktualizacje za pomocą usługi Azure Automation Update Management. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Uwagi dotyczące funkcji: obrazy z systemem Ubuntu stają się dostępne do utworzenia nowego klastra usługi Azure HDInsight w ciągu trzech miesięcy od opublikowania. Uruchomione klastry nie są automatycznie poprawiane. Klienci muszą używać akcji skryptu lub innych mechanizmów, aby zastosować poprawki działającego klastra. Najlepszym rozwiązaniem jest uruchomienie tych akcji skryptu i zastosowanie aktualizacji zabezpieczeń bezpośrednio po utworzeniu klastra.
Wskazówki dotyczące konfiguracji: użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemami Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
Uwaga: obrazy z systemem Ubuntu stają się dostępne do utworzenia nowego klastra usługi Azure HDInsight w ciągu trzech miesięcy od opublikowania. Uruchomione klastry nie są automatycznie poprawiane. Klienci muszą używać akcji skryptu lub innych mechanizmów, aby zastosować poprawki działającego klastra. Najlepszym rozwiązaniem jest uruchomienie tych akcji skryptu i zastosowanie aktualizacji zabezpieczeń bezpośrednio po utworzeniu klastra.
Dokumentacja: Omówienie rozwiązania Update Management
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia punktu końcowego.
ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)
Funkcje
Rozwiązanie EDR
Opis: Funkcja wykrywania i reagowania punktu końcowego (EDR), taka jak usługa Azure Defender dla serwerów, można wdrożyć w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Azure HDInsight nie obsługuje Ochrona punktu końcowego w usłudze Microsoft Defender natywnie, używa rozwiązania ClamAV do ochrony przed złośliwym oprogramowaniem.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Czy mogę wyłączyć Clamscan klaster?
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Funkcje
Rozwiązanie chroniące przed złośliwym oprogramowaniem
Opis: W punkcie końcowym można wdrożyć funkcję ochrony przed złośliwym oprogramowaniem, taką jak program antywirusowy Microsoft Defender Ochrona punktu końcowego w usłudze Microsoft Defender. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Azure HDInsight używa rozwiązania ClamAV. Przekaż dzienniki ClamAV do scentralizowanego rozwiązania SIEM lub innego systemu wykrywania i zgłaszania alertów.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Zabezpieczenia i certyfikaty
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Funkcje
Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem
Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji sygnatur. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Azure HDInsight jest dostarczana ze wstępnie zainstalowanym i włączonym narzędziem Clamscan dla obrazów węzłów klastra. Clamscan automatycznie przeprowadzi aktualizacje aparatu i definicji oraz zaktualizuje podpisy chroniące przed złośliwym oprogramowaniem na podstawie oficjalnej bazy danych sygnatur wirusów ClamAV.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Zabezpieczenia i certyfikaty
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Natywne możliwości tworzenia kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Eksportowanie bazy danych HBase i replikacja bazy danych HBase to typowe sposoby włączania ciągłości działania między klastrami HBase usługi HDInsight.
HBase Export to proces replikacji wsadowej, który używa narzędzia eksportu HBase do eksportowania tabel z podstawowego klastra HBase do jego bazowego magazynu Azure Data Lake Storage Gen 2. Następnie można uzyskać dostęp do wyeksportowanych danych z pomocniczego klastra HBase i zaimportować je do tabel, które muszą wstępnie istnieć w pomocniczej bazie danych. Podczas gdy eksport HBase oferuje stopień szczegółowości na poziomie tabeli, w sytuacjach aktualizacji przyrostowych aparat automatyzacji eksportu kontroluje zakres wierszy przyrostowych do uwzględnienia w każdym przebiegu.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Konfigurowanie kopii zapasowych i replikacji dla baz danych Apache HBase i Apache Phoenix w usłudze HDInsight