Базовый план обеспечения безопасности Azure для HDInsight
Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к HDInsight. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к HDInsight.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции , неприменимые к HDInsight, были исключены. Чтобы узнать, как HDInsight полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности HDInsight.
Профиль безопасности
Профиль безопасности обобщает поведение HDInsight с высоким уровнем влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Аналитика |
| Клиент может получить доступ к HOST/ОС | Только для чтения |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Безопасность периметра в Azure HDInsight достигается с помощью виртуальных сетей. Корпоративный администратор может создать кластер в виртуальной сети и ограничить к ней доступ с помощью групп безопасности сети (NSG).
Руководство по настройке. Разверните службу в виртуальной сети. Назначьте ресурсу частные IP-адреса (если это применимо), если нет веской причины назначать общедоступные IP-адреса напрямую ресурсу.
Примечание. В зависимости от приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами на основе правил NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию".
Справочник. Планирование виртуальной сети для Azure HDInsight
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Безопасность периметра в Azure HDInsight достигается с помощью виртуальных сетей. Корпоративный администратор может создать кластер в виртуальной сети и ограничить к ней доступ с помощью групп безопасности сети (NSG). Для обмена данными с кластером Azure HDInsight допускаются только IP-адреса, включенные в правила NSG для входящего трафика. Эта конфигурация обеспечивает безопасность периметра. Все кластеры, развернутые в виртуальной сети, имеют также частную конечную точку. Конечная точка будет разрешаться в частный IP-адрес внутри виртуальной сети. Она предоставляет частный доступ по протоколу HTTP к шлюзам кластера.
В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу "отказывать по умолчанию".
Порты, которые обычно требуются для всех типов кластеров:
22–23 — доступ по протоколу SSH к ресурсам кластера;
443 — Ambari, REST API WebHCat, HiveServer ODBC и JDBC.
Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
Справочник. Управление сетевым трафиком в Azure HDInsight
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Используйте Приватный канал Azure, чтобы обеспечить частный доступ к HDInsight из виртуальных сетей без подключения к Интернету. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.
Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.
Примечание. Используйте Приватный канал Azure, чтобы обеспечить частный доступ к HDInsight из виртуальных сетей без подключения к Интернету. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.
Справка.Включение Приватный канал в кластере HDInsight
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Отключите доступ к общедоступной сети с помощью правила фильтрации ip-адресов ACL уровня службы или переключения для доступа к общедоступной сети.
Справочник. Ограничение общедоступного подключения в Azure HDInsight
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Общие сведения о корпоративной безопасности в Azure HDInsight
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. При создании кластера HDI в плоскости данных создаются две локальные учетные записи администратора (Apache Ambari). Объект, соответствующий пользователю, учетные данные которого передаются создателем кластера. Другой создается плоскостью управления HDI. Уровень управления HDI использует эту учетную запись для выполнения вызовов плоскости данных. Избегайте использования локальных методов проверки подлинности или учетных записей. Они должны быть отключены везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. При создании кластера HDI в плоскости данных создаются две локальные учетные записи администратора (Apache Ambari). Объект, соответствующий пользователю, учетные данные которого передаются создателем кластера. Другой создается плоскостью управления HDI. Уровень управления HDI использует эту учетную запись для выполнения вызовов плоскости данных. Избегайте использования локальных методов проверки подлинности или учетных записей. Они должны быть отключены везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Примечания о функциях. Плоскость данных поддерживает только роли на основе Ambari. Детализированный ACL выполняется через Ranger.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к данным клиента, HDInsight поддерживает защищенное хранилище. Вы получаете интерфейс для проверки и утверждения или отклонения запросов на доступ к данным клиента.
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Справочник. Защищенное хранилище для Microsoft Azure
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Используйте теги для ресурсов, связанных с развертываниями Azure HDInsight, для отслеживания ресурсов Azure, которые хранят или обрабатывают конфиденциальную информацию. Классификация и идентификация конфиденциальных данных с помощью Microsoft Purview. Используйте службу для любых данных, хранящихся в базах данных SQL или учетных записях службы хранилища Azure, связанных с кластером HDInsight.
Корпорация Майкрософт рассматривает все содержимое клиента на управляемой ею базовой платформе как конфиденциальное. Корпорация Майкрософт делает все возможное, чтобы значительно увеличить степень защиты от потери данных и их раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.
Руководство по настройке. Используйте такие средства, как Azure Purview, Azure Information Protection и Azure SQL обнаружение и классификация данных, для централизованного сканирования, классификации и маркировки любых конфиденциальных данных, которые находятся в Azure, локальной среде, Microsoft 365 или других расположениях.
Справочные материалы. Защита данных клиентов Azure
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Заметки о функциях. HDInsight поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней. Шифруйте любую конфиденциальную информацию при передаче. Убедитесь в том, что все клиенты, подключающиеся к кластеру Azure HDInsight или хранилищам данных кластера (учетные записи хранения Azure или Azure Data Lake Storage 1-го или 2-го поколения), могут использовать TLS 1.2 или более поздней версии. По умолчанию ресурсы Microsoft Azure будут согласовывать подключение по протоколу TLS 1.2.
В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками.
Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.
Руководство по настройке. Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Примените протокол HTTPS для любых веб-приложений и служб и убедитесь, что используется ПРОТОКОЛ TLS версии 1.2 или более поздней. Устаревшие версии, такие как SSL 3.0, TLS версии 1.0, должны быть отключены. Для удаленного управления Виртуальные машины вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Примечание. HDInsight поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней. Шифруйте любую конфиденциальную информацию при передаче. Убедитесь в том, что все клиенты, подключающиеся к кластеру Azure HDInsight или хранилищам данных кластера (учетные записи хранения Azure или Azure Data Lake Storage 1-го или 2-го поколения), могут использовать TLS 1.2 или более поздней версии. По умолчанию ресурсы Microsoft Azure будут согласовывать подключение по протоколу TLS 1.2.
В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками.
Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.
Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Заметки о функциях. При использовании базы данных Azure SQL для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Руководство по настройке. Включите шифрование неактивных данных с помощью управляемых платформой ключей (управляемых Корпорацией Майкрософт), если служба не настраивает их автоматически.
Примечание. При использовании базы данных Azure SQL для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Заметки о функциях. При использовании базы данных Azure SQL для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Примечание. При использовании базы данных Azure SQL для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Заметки о функциях. При использовании базы данных Azure SQL для хранения метаданных Apache Hive и Apache Oozie убедитесь, что данные SQL всегда остаются зашифрованными. Для учетных записей хранения Azure и Data Lake Storage (1-го или 2-го поколения) рекомендуется разрешить корпорации Майкрософт управлять ключами шифрования, однако вы можете управлять собственными ключами.
HDInsight поддерживает несколько типов шифрования на двух разных уровнях:
Шифрование на стороне сервера (SSE), которое выполняет служба хранилища. В HDInsight SSE используется для шифрования дисков ОС и дисков данных. По умолчанию он включен. SSE — это служба шифрования уровня 1.
Шифрование на узле с помощью ключа, управляемого платформой — аналогично SSE, этот тип шифрования выполняется службой хранилища. Однако он предназначен только для временных дисков и не включен по умолчанию. Шифрование на узле также является службой шифрования уровня 1.
Шифрование неактивных данных с помощью управляемого клиентом ключа. Этот тип шифрования можно использовать на временных дисках. Он не включен по умолчанию и требует, чтобы клиент предоставил собственный ключ посредством хранилища ключей Azure. Шифрование неактивных данных является службой шифрования уровня 2.
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Примечание. Если вы используете Azure Key Vault с развертыванием Azure HDInsight, периодически проверяйте восстановление резервных копии ключей, управляемых клиентом.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Двойное шифрование Azure HDInsight для неактивных данных
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Используйте Политика Azure псевдонимы в пространстве имен Microsoft.HDInsight для создания настраиваемых политик. Создайте политики для аудита или принудительного применения сетевой конфигурации кластера HDInsight.
Если у вас есть подписка на Rapid7, Qualys или другую платформу управления уязвимостями, возможны разные варианты. С помощью скриптов вы можете установить агенты оценки уязвимостей на узлах кластера Azure HDInsight и управлять узлами через соответствующий портал.
С помощью Azure HDInsight ESP можно использовать Apache Ranger для создания детализированных политик управления доступом и маскировки данных, а также управления ими. Это можно сделать для данных, хранящихся в папке Files/Folders/Databases/Tables/Rows/Columns.
Администратор Hadoop может настроить Azure RBAC для защиты Apache Hive, HBase, Kafka и Spark с помощью этих подключаемых модулей в Apache Ranger.
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure эффекты [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник. Политика Azure встроенных определений для Azure HDInsight
AM-5: использование только утвержденных приложений на виртуальной машине
Компоненты
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях: Azure HDInsight не поддерживает defender в собственном коде; однако он использует ClamAV. Кроме того, при использовании ESP для HDInsight можно использовать некоторые встроенные возможности обнаружения угроз в Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не операции GET) для ресурсов HDInsight, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.
Включите журналы ресурсов Azure для HDInsight. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.
HDInsight также создает журналы аудита безопасности для локальных учетных записей администратора. Включите эти журналы аудита локального администратора.
Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL содержит журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
Справочник. Управление журналами для кластера HDInsight
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Компоненты
Служба автоматизации Azure — State Configuration
Описание: служба автоматизации Azure State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Управление образами операционной системы Azure HDInsight и их обслуживание осуществляется корпорацией Майкрософт. Однако клиент несет ответственность за реализацию конфигурации состояния на уровне ОС для этого образа. Шаблоны виртуальных машин Майкрософт в сочетании со средством State Configuration службы автоматизации Azure могут помочь в соблюдении и поддержании требований безопасности.
Руководство по настройке. Используйте служба автоматизации Azure State Configuration для поддержания конфигурации безопасности операционной системы.
Справочные материалы: обзор служба автоматизации Azure State Configuration
агент гостевой конфигурации Политика Azure
Описание. Политика Azure агент гостевой конфигурации можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Справочник. Общие сведения о функции конфигурации компьютера в службе "Автоматическое управление Azure"
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование предоставленных пользователем образов виртуальных машин или предварительно созданных образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Образы пользовательских контейнеров
Описание. Служба поддерживает использование предоставленных пользователем образов контейнеров или предварительно созданных образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PV-5: выполнение оценок уязвимостей
Компоненты
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть проверена на наличие уязвимостей с помощью Microsoft Defender для облака или других встроенных Microsoft Defender служб оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Azure HDInsight не поддерживает Microsoft Defender для оценки уязвимостей, а использует ClamAV для защиты от вредоносных программ. Однако при использовании ESP для HDInsight можно применять некоторые встроенные возможности обнаружения Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.
Пересылайте журналы из HDInsight в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.
Руководство по настройке. Следуйте рекомендациям Microsoft Defender для облака по выполнению оценки уязвимостей на виртуальных машинах Azure, образах контейнеров и серверах SQL Server.
Примечание. Azure HDInsight не поддерживает defender изначально, а использует ClamAV. Однако при использовании ESP для HDInsight можно применять некоторые встроенные возможности обнаружения Microsoft Defender для облака. Вы также можете включить Microsoft Defender для виртуальных машин, связанных с HDInsight.
Пересылайте журналы из HDInsight в SIEM, чтобы затем их можно было использовать для настройки обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.
PV-6: быстрое и автоматическое исправление уязвимостей
Компоненты
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Заметки о функциях. Образы Ubuntu становятся доступными для создания нового кластера Azure HDInsight в течение трех месяцев после публикации. Работающие кластеры не обновляются автоматически. Клиенты должны использовать действия сценария или другие механизмы для исправления работающего кластера. Рекомендуем выполнить эти действия скрипта и применить обновления системы безопасности сразу после создания кластера.
Руководство по настройке. Используйте управление обновлениями служба автоматизации Azure или стороннее решение, чтобы убедиться, что на виртуальных машинах Windows и Linux установлены самые последние обновления для системы безопасности. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.
Примечание. Образы Ubuntu становятся доступными для создания нового кластера Azure HDInsight в течение трех месяцев после публикации. Работающие кластеры не исправляются автоматически. Клиенты должны использовать действия сценария или другие механизмы для исправления работающего кластера. Рекомендуем выполнить эти действия скрипта и применить обновления системы безопасности сразу после создания кластера.
Справочные материалы. Общие сведения об управлении обновлениями
безопасность конечных точек.
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Endpoint Security( Безопасность конечных точек).
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Компоненты
Решение EDR
Описание. В конечной точке можно развернуть функцию обнаружения конечных точек и реагирования (EDR), например Azure Defender для серверов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Azure HDInsight не поддерживает Microsoft Defender для конечной точки в собственном коде, он использует ClamAV для защиты от вредоносных программ.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справка. Можно ли отключить Clamscan в кластере?
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Компоненты
Решение для защиты от вредоносных программ
Описание. Функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки можно развернуть в конечной точке. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Azure HDInsight использует ClamAV. Пересылайте журналы ClamAV в централизованную систему SIEM или другую систему обнаружения и оповещения.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Безопасность и сертификаты
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Компоненты
Мониторинг работоспособности решения для защиты от вредоносных программ
Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности для обновлений платформы, подсистемы и автоматических сигнатур. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Azure HDInsight поставляется с предварительно установленным Clamscan и включенным для образов узлов кластера. Clamscan будет автоматически выполнять обновление подсистемы, определений и сигнатур защиты от вредоносных программ на основе официальной базы данных сигнатур вирусов ClamAV.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Безопасность и сертификаты
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Экспорт HBase и репликация HBase — это распространенные способы обеспечения непрерывности бизнес-процессов между кластерами HDInsight HBase.
Экспорт HBase — это процесс пакетной репликации, использующий служебную программу экспорта HBase для экспорта таблиц из основного кластера HBase в базовое хранилище Azure Data Lake Storage 2-го поколения. После этого можно получить доступ к экспортированным данным из дополнительного кластера HBase и импортировать их в таблицы, которые уже должны быть созданы в дополнительном кластере. Хотя при экспорте HBase действительно предлагается детализация на уровне таблицы, в ситуациях инкрементного обновления модуль автоматизации экспорта управляет диапазоном инкрементных записей, включаемых в каждый запуск.
Руководство по конфигурации. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Справочник. Настройка резервного копирования и репликации для Apache HBase и Apache Phoenix в HDInsight
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.