Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan HDInsight'a yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenlik karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve HDInsight için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
HDInsight için geçerli olmayan özellikler dışlanmıştır. HDInsight'ın Microsoft bulut güvenlik karşılaştırmasına nasıl tamamen eşlediğini görmek için tam HDInsight güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili HDInsight'ın yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Analiz |
| Müşteri HOST/ işletim sistemine erişebilir | Salt Okunur |
| Hizmet müşterinin sanal ağına dağıtılabilir | True |
| Bekleyen müşteri içeriğini depolar | True |
Ağ güvenliği
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Azure HDInsight'ta çevre güvenliği sanal ağlar aracılığıyla sağlanır. Kuruluş yöneticisi, sanal ağ içinde bir küme oluşturabilir ve sanal ağa erişimi kısıtlamak için bir ağ güvenlik grubu (NSG) kullanabilir.
Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).
Not: Uygulamalarınıza ve kurumsal segmentasyon stratejinize bağlı olarak, NSG kurallarınıza göre iç kaynaklar arasındaki trafiği kısıtlayın veya izin verin. Üç katmanlı uygulama gibi belirli, iyi tanımlanmış uygulamalar için bu, varsayılan olarak yüksek oranda güvenli bir reddetme olabilir.
Başvuru: Azure HDInsight için sanal ağ planlama
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Azure HDInsight'ta çevre güvenliği sanal ağlar aracılığıyla sağlanır. Kuruluş yöneticisi, sanal ağ içinde bir küme oluşturabilir ve sanal ağa erişimi kısıtlamak için bir ağ güvenlik grubu (NSG) kullanabilir. Yalnızca gelen NSG kurallarında izin verilen IP adresleri Azure HDInsight kümesiyle iletişim kurabilir. Bu yapılandırma çevre güvenliği sağlar. Sanal ağa dağıtılan tüm kümelerin de özel uç noktası olur. Uç nokta, Sanal Ağ içinde özel bir IP adresine çözümlenir. Küme ağ geçitlerine özel HTTP erişimi sağlar.
Uygulamalarınıza ve kurumsal segmentasyon stratejinize bağlı olarak, NSG kurallarınıza göre iç kaynaklar arasında trafiği kısıtlayın veya trafiğe izin verin. Üç katmanlı uygulama gibi belirli, iyi tanımlanmış uygulamalar için bu, varsayılan olarak yüksek oranda güvenli bir reddetme olabilir.
Bağlantı noktaları genellikle tüm küme türleri için gereklidir:
22-23 - Küme kaynaklarına SSH erişimi
443 - Ambari, WebHCat REST API, HiveServer ODBC ve JDBC
Yapılandırma Kılavuzu: Trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Başvuru: Azure HDInsight'ta ağ trafiğini denetleme
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: İnternet'ten geçmeden sanal ağlarınızdan HDInsight'a özel erişimi etkinleştirmek için Azure Özel Bağlantı kullanın. Özel erişim, Azure kimlik doğrulamasına ve trafik güvenliğine derinlemesine savunma ölçüsü ekler.
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtın.
Not: İnternet'ten geçmeden sanal ağlarınızdan HDInsight'a özel erişimi etkinleştirmek için Azure Özel Bağlantı kullanın. Özel erişim, Azure kimlik doğrulamasına ve trafik güvenliğine derinlemesine savunma ölçüsü ekler.
Başvuru: HDInsight kümesinde Özel Bağlantı etkinleştirme
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın.
Başvuru: Azure HDInsight'ta genel bağlantıyı kısıtlama
Kimlik yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasını kullanmayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Azure HDInsight'ta kurumsal güvenliğe genel bakış
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Özellik notları: HDI kümesi oluşturulduğunda, veri düzleminde (Apache Ambari) iki yerel yönetici hesabı oluşturulur. Kimlik bilgilerinin küme oluşturucusu tarafından geçirildiği kullanıcıya karşılık gelen. Diğeri HDI kontrol düzlemi tarafından oluşturulur. HDI denetim düzlemi, veri düzlemi çağrıları yapmak için bu hesabı kullanır. Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel bir yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Özellik notları: HDI kümesi oluşturulduğunda, veri düzleminde (Apache Ambari) iki yerel yönetici hesabı oluşturulur. Kimlik bilgilerinin küme oluşturucusu tarafından geçirildiği kullanıcıya karşılık gelen. Diğeri HDI kontrol düzlemi tarafından oluşturulur. HDI denetim düzlemi, veri düzlemi çağrıları yapmak için bu hesabı kullanır. Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
PA-7: Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık) ilkesi
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Rol Tabanlı Erişim Denetimi (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Özellik notları: Veri düzlemi yalnızca Ambari tabanlı rolleri destekler. Ranger aracılığıyla ince taneli ACL yapılır.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Microsoft'un müşteri verilerine erişmesi gereken destek senaryolarında HDInsight, Müşteri Kasası'nın desteklenmesine sahiptir. Müşteri veri erişim isteklerini gözden geçirmeniz ve onaylamanız veya reddetmeniz için bir arabirim sağlar.
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, gözden geçirmek için Müşteri Kasası'nu kullanın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Başvuru: Microsoft Azure için Müşteri Kasası
Veri koruması
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Hassas bilgileri depolayan veya işleyen Azure kaynaklarını izlemeye yardımcı olmak için Azure HDInsight dağıtımlarınızla ilgili kaynaklarda etiketleri kullanın. Microsoft Purview kullanarak hassas verileri sınıflandırma ve tanımlama. HDInsight kümenizle ilişkili SQL veritabanlarında veya Azure Depolama hesaplarında depolanan tüm veriler için hizmeti kullanın.
Microsoft'un yönettiği temel platform için Microsoft, tüm müşteri içeriğini hassas olarak ele alır. Microsoft, müşteri veri kaybına ve açığa çıkması durumlarına karşı koruma sağlamak için çok uzun bir süre boyunca devam eder. Microsoft, Azure'da müşteri verilerinin güvende kalmasını sağlamak için bir güçlü veri koruma denetimleri ve özellikleri paketi uyguladı ve bakımını yaptı.
Yapılandırma Kılavuzu: Azure, şirket içi, Microsoft 365 veya diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Azure Purview, Azure Information Protection ve Azure SQL Veri Bulma ve Sınıflandırma gibi araçları kullanın.
Başvuru: Azure müşteri veri koruması
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: HDInsight, TLS v1.2 veya üzeri sürümlerle aktarım sırasında veri şifrelemeyi destekler. Aktarımdaki tüm hassas bilgileri şifreleyin. Azure HDInsight kümenize veya küme veri depolarınıza (Azure Depolama Hesapları veya Azure Data Lake Storage 1. Nesil/2. Nesil) bağlanan tüm istemcilerin TLS 1.2 veya üzeri bir anlaşma yapabilmesini sağlayın. Microsoft Azure kaynakları varsayılan olarak TLS 1.2 anlaşması yapacaktır.
Erişim denetimlerini tamamlamak için, aktarımdaki verileri trafik yakalama gibi "bant dışı" saldırılara karşı koruyun. Saldırganların verileri kolayca okuyamadığından veya değiştiremiyorsan emin olmak için şifrelemeyi kullanın.
Uzaktan yönetim için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın. Eski SSL, TLS, SSH sürümleri ve protokolleri ile zayıf şifrelemeler devre dışı bırakılmalıdır.
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya üzerinin kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makineler uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Not: HDInsight, TLS v1.2 veya üzeri ile aktarım sırasında veri şifrelemeyi destekler. Aktarımdaki tüm hassas bilgileri şifreleyin. Azure HDInsight kümenize veya küme veri depolarınıza (Azure Depolama Hesapları veya Azure Data Lake Storage 1. Nesil/2. Nesil) bağlanan tüm istemcilerin TLS 1.2 veya üzeri bir anlaşma yapabilmesini sağlayın. Microsoft Azure kaynakları varsayılan olarak TLS 1.2 anlaşması yapacaktır.
Erişim denetimlerini tamamlamak için, aktarımdaki verileri trafik yakalama gibi "bant dışı" saldırılara karşı koruyun. Saldırganların verileri kolayca okuyamadığından veya değiştiremiyorsan emin olmak için şifrelemeyi kullanın.
Uzaktan yönetim için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın. Eski SSL, TLS, SSH sürümleri ve protokolleri ile zayıf şifrelemeler devre dışı bırakılmalıdır.
Varsayılan olarak Azure, Azure veri merkezleri arasında aktarımda olan veriler için şifreleme sağlar.
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Şifrelemedeki Veriler
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: Apache Hive ve Apache Oozie meta verilerini depolamak için Azure SQL Veritabanı kullanıyorsanız SQL verilerinin her zaman şifrelenmiş kaldığından emin olun. Azure Depolama Hesapları ve Data Lake Storage (1. Nesil veya 2. Nesil) için Şifreleme anahtarlarınızı Microsoft'un yönetmesine izin vermek önerilir, ancak kendi anahtarlarınızı yönetebilirsiniz.
HDInsight iki farklı katmanda birden çok şifreleme türünü destekler:
Sunucu Tarafı Şifrelemesi (SSE) - SSE, depolama hizmeti tarafından gerçekleştirilir. HDInsight'ta SSE, işletim sistemi disklerini ve veri disklerini şifrelemek için kullanılır. Varsayılan olarak etkindir. SSE bir katman 1 şifreleme hizmetidir.
Platform tarafından yönetilen anahtarı kullanarak konakta şifreleme - SSE'ye benzer şekilde, bu tür bir şifreleme depolama hizmeti tarafından gerçekleştirilir. Ancak, yalnızca geçici diskler içindir ve varsayılan olarak etkinleştirilmez. Konakta şifreleme aynı zamanda bir katman 1 şifreleme hizmetidir.
Müşteri tarafından yönetilen anahtar kullanılarak bekleyen şifreleme - Bu tür şifreleme, verilerde ve geçici disklerde kullanılabilir. Varsayılan olarak etkinleştirilmez ve müşterinin Azure anahtar kasası aracılığıyla kendi anahtarını sağlaması gerekir. Bekleyen şifreleme bir katman 2 şifreleme hizmetidir.
Yapılandırma Kılavuzu: Hizmet tarafından otomatik olarak yapılandırılmayan platform tarafından yönetilen (Microsoft tarafından yönetilen) anahtarları kullanarak bekleyen şifrelemede verileri etkinleştirin.
Not: Apache Hive ve Apache Oozie meta verilerini depolamak için Azure SQL Veritabanı kullanıyorsanız SQL verilerinin her zaman şifrelenmiş kaldığından emin olun. Azure Depolama Hesapları ve Data Lake Storage (1. Nesil veya 2. Nesil) için Şifreleme anahtarlarınızı Microsoft'un yönetmesine izin vermek önerilir, ancak kendi anahtarlarınızı yönetebilirsiniz.
HDInsight iki farklı katmanda birden çok şifreleme türünü destekler:
Sunucu Tarafı Şifrelemesi (SSE) - SSE, depolama hizmeti tarafından gerçekleştirilir. HDInsight'ta SSE, işletim sistemi disklerini ve veri disklerini şifrelemek için kullanılır. Varsayılan olarak etkindir. SSE bir katman 1 şifreleme hizmetidir.
Platform tarafından yönetilen anahtarı kullanarak konakta şifreleme - SSE'ye benzer şekilde, bu tür bir şifreleme depolama hizmeti tarafından gerçekleştirilir. Ancak, yalnızca geçici diskler içindir ve varsayılan olarak etkinleştirilmez. Konakta şifreleme aynı zamanda bir katman 1 şifreleme hizmetidir.
Müşteri tarafından yönetilen anahtar kullanılarak bekleyen şifreleme - Bu tür şifreleme, verilerde ve geçici disklerde kullanılabilir. Varsayılan olarak etkinleştirilmez ve müşterinin Azure anahtar kasası aracılığıyla kendi anahtarını sağlaması gerekir. Bekleyen şifreleme bir katman 2 şifreleme hizmetidir.
Başvuru: Bekleyen veriler için Azure HDInsight çift şifrelemesi
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Şifrelemedeki Veriler
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: Apache Hive ve Apache Oozie meta verilerini depolamak için Azure SQL Veritabanı kullanıyorsanız SQL verilerinin her zaman şifrelenmiş kaldığından emin olun. Azure Depolama Hesapları ve Data Lake Storage (1. Nesil veya 2. Nesil) için Şifreleme anahtarlarınızı Microsoft'un yönetmesine izin vermek önerilir, ancak kendi anahtarlarınızı yönetebilirsiniz.
HDInsight iki farklı katmanda birden çok şifreleme türünü destekler:
Sunucu Tarafı Şifrelemesi (SSE) - SSE, depolama hizmeti tarafından gerçekleştirilir. HDInsight'ta SSE, işletim sistemi disklerini ve veri disklerini şifrelemek için kullanılır. Varsayılan olarak etkindir. SSE bir katman 1 şifreleme hizmetidir.
Platform tarafından yönetilen anahtarı kullanarak konakta şifreleme - SSE'ye benzer şekilde, bu tür bir şifreleme depolama hizmeti tarafından gerçekleştirilir. Ancak, yalnızca geçici diskler içindir ve varsayılan olarak etkinleştirilmez. Konakta şifreleme aynı zamanda bir katman 1 şifreleme hizmetidir.
Müşteri tarafından yönetilen anahtar kullanılarak bekleyen şifreleme - Bu tür şifreleme, verilerde ve geçici disklerde kullanılabilir. Varsayılan olarak etkinleştirilmez ve müşterinin Azure anahtar kasası aracılığıyla kendi anahtarını sağlaması gerekir. Bekleyen şifreleme bir katman 2 şifreleme hizmetidir.
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Not: Apache Hive ve Apache Oozie meta verilerini depolamak için Azure SQL Veritabanı kullanıyorsanız SQL verilerinin her zaman şifrelenmiş kaldığından emin olun. Azure Depolama Hesapları ve Data Lake Storage (1. Nesil veya 2. Nesil) için Şifreleme anahtarlarınızı Microsoft'un yönetmesine izin vermek önerilir, ancak kendi anahtarlarınızı yönetebilirsiniz.
HDInsight iki farklı katmanda birden çok şifreleme türünü destekler:
Sunucu Tarafı Şifrelemesi (SSE) - SSE, depolama hizmeti tarafından gerçekleştirilir. HDInsight'ta SSE, işletim sistemi disklerini ve veri disklerini şifrelemek için kullanılır. Varsayılan olarak etkindir. SSE bir katman 1 şifreleme hizmetidir.
Platform tarafından yönetilen anahtarı kullanarak konakta şifreleme - SSE'ye benzer şekilde, bu tür bir şifreleme depolama hizmeti tarafından gerçekleştirilir. Ancak, yalnızca geçici diskler içindir ve varsayılan olarak etkinleştirilmez. Konakta şifreleme aynı zamanda bir katman 1 şifreleme hizmetidir.
Müşteri tarafından yönetilen anahtar kullanılarak bekleyen şifreleme - Bu tür şifreleme, verilerde ve geçici disklerde kullanılabilir. Varsayılan olarak etkinleştirilmez ve müşterinin Azure anahtar kasası aracılığıyla kendi anahtarını sağlaması gerekir. Bekleyen şifreleme bir katman 2 şifreleme hizmetidir.
Başvuru: Bekleyen veriler için Azure HDInsight çift şifrelemesi
DP-6: Güvenli anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: Apache Hive ve Apache Oozie meta verilerini depolamak için Azure SQL Veritabanı kullanıyorsanız SQL verilerinin her zaman şifrelenmiş kaldığından emin olun. Azure Depolama Hesapları ve Data Lake Storage (1. Nesil veya 2. Nesil) için Şifreleme anahtarlarınızı Microsoft'un yönetmesine izin vermek önerilir, ancak kendi anahtarlarınızı yönetebilirsiniz.
HDInsight iki farklı katmanda birden çok şifreleme türünü destekler:
Sunucu Tarafı Şifrelemesi (SSE) - SSE, depolama hizmeti tarafından gerçekleştirilir. HDInsight'ta SSE, işletim sistemi disklerini ve veri disklerini şifrelemek için kullanılır. Varsayılan olarak etkindir. SSE bir katman 1 şifreleme hizmetidir.
Platform tarafından yönetilen anahtarı kullanarak konakta şifreleme - SSE'ye benzer şekilde, bu tür bir şifreleme depolama hizmeti tarafından gerçekleştirilir. Ancak, yalnızca geçici diskler içindir ve varsayılan olarak etkinleştirilmez. Konakta şifreleme aynı zamanda bir katman 1 şifreleme hizmetidir.
Müşteri tarafından yönetilen anahtar kullanılarak bekleyen şifreleme - Bu tür şifreleme, verilerde ve geçici disklerde kullanılabilir. Varsayılan olarak etkinleştirilmez ve müşterinin Azure anahtar kasası aracılığıyla kendi anahtarını sağlaması gerekir. Bekleyen şifreleme bir katman 2 şifreleme hizmetidir.
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Azure Key Vault'taki anahtarlarınızı ve hizmetinizi tanımlı bir zamanlamaya göre veya anahtar kullanımdan kaldırma veya risk altında kalma durumlarında döndürün ve iptal edin. İş yükünde, hizmette veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault'a kaydedildiğinden ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvurıldığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Not: Azure HDInsight dağıtımınızla Azure Key Vault kullanıyorsanız yedeklenen müşteri tarafından yönetilen anahtarların geri yüklenmesini düzenli aralıklarla test edin.
Başvuru: Bekleyen veriler için Azure HDInsight çift şifrelemesi
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'ta Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Bekleyen veriler için Azure HDInsight çift şifrelemesi
Varlık yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Özel ilkeler oluşturmak için "Microsoft.HDInsight" ad alanında Azure İlkesi diğer adları kullanın. HDInsight kümenizin ağ yapılandırmasını denetlemek veya zorunlu kılmak için ilkeleri yapılandırın.
Rapid7, Qualys veya başka bir güvenlik açığı yönetimi platformu aboneliğiniz varsa seçenekleriniz vardır. Azure HDInsight küme düğümlerinize güvenlik açığı değerlendirme aracılarını yüklemek ve ilgili portal aracılığıyla düğümleri yönetmek için betik eylemlerini kullanabilirsiniz.
Azure HDInsight ESP ile Apache Ranger'ı kullanarak ayrıntılı erişim denetimi ve veri gizleme ilkeleri oluşturabilir ve yönetebilirsiniz. Dosyaları/Klasörler/Veritabanları/Tablolar/Satırlar/Sütunlar'da depolanan verileriniz için bunu yapabilirsiniz.
Hadoop yöneticisi Azure RBAC'yi Apache Ranger'daki bu eklentileri kullanarak Apache Hive, HBase, Kafka ve Spark'ın güvenliğini sağlamak için yapılandırabilir.
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak için Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] efektlerini kullanın.
Başvuru: Azure HDInsight için yerleşik tanımları Azure İlkesi
-5: Sanal makinede yalnızca onaylı uygulamaları kullanın
Özellikler
Bulut için Microsoft Defender - Uyarlamalı Uygulama Denetimleri
Açıklama: Hizmet, Bulut için Microsoft Defender'daki Uyarlamalı Uygulama Denetimlerini kullanarak sanal makinede çalıştırılacak müşteri uygulamalarını sınırlayabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Özellik notları: Azure HDInsight yerel olarak defender'ı desteklemez; ancak ClamAV kullanır. Ayrıca, HDInsight için ESP kullanırken, Bulut için Microsoft Defender yerleşik tehdit algılama özelliğinden bazılarını kullanabilirsiniz. HDInsight ile ilişkilendirilmiş VM'leriniz için Microsoft Defender'ı da etkinleştirebilirsiniz.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Etkinlik günlükleri otomatik olarak kullanılabilir. Günlükler okuma işlemleri (GET) dışında HDInsight kaynaklarınız için tüm PUT, POST ve DELETE işlemlerini içerir ancak GET işlemlerini içermez. Sorun giderme sırasında hataları bulmak veya kuruluşunuzdaki kullanıcıların kaynakları nasıl değiştirebileceğini izlemek için etkinlik günlüklerini kullanabilirsiniz.
HDInsight için Azure kaynak günlüklerini etkinleştirin. Kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Bulut için Microsoft Defender ve Azure İlkesi kullanabilirsiniz. Bu günlükler, güvenlik olaylarını araştırmak ve adli alıştırmalar gerçekleştirmek için kritik öneme sahiptir.
HDInsight ayrıca yerel yönetim hesapları için güvenlik denetim günlükleri oluşturur. Bu yerel yönetici denetim günlüklerini etkinleştirin.
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault bir anahtar kasasından gizli dizi alan eylemler için ek kaynak günlüklerini destekler ve Azure SQL'de veritabanına yönelik istekleri izleyen kaynak günlükleri vardır. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: HDInsight kümesi için günlükleri yönetme
Duruş ve güvenlik açığı yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.
PV-3: İşlem kaynakları için güvenli yapılandırmalar tanımlama ve oluşturma
Özellikler
Azure Otomasyonu State Configuration
Açıklama: Azure Otomasyonu Durum Yapılandırması, işletim sisteminin güvenlik yapılandırmasını korumak için kullanılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Azure HDInsight İşletim Sistemi Görüntüleri Microsoft tarafından yönetilir ve korunur. Ancak müşteri, bu görüntü için işletim sistemi düzeyinde durum yapılandırması uygulamakla sorumludur. Azure Otomasyonu Durum Yapılandırması ile birleştirilen Microsoft VM şablonları, güvenlik gereksinimlerini karşılamaya ve sürdürmeye yardımcı olabilir.
Yapılandırma Kılavuzu: İşletim sisteminin güvenlik yapılandırmasını korumak için Azure Otomasyonu Durum Yapılandırması'nı kullanın.
Başvuru: Azure Otomasyonu Durum Yapılandırmasına genel bakış
Azure İlkesi Konuk Yapılandırma Aracısı
Açıklama: Azure İlkesi konuk yapılandırma aracısı, işlem kaynaklarına uzantı olarak yüklenebilir veya dağıtılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure Otomatik Yönetim'in makine yapılandırma özelliğini anlama
Özel VM Görüntüleri
Açıklama: Hizmet, önceden uygulanan belirli temel yapılandırmalarla kullanıcı tarafından sağlanan VM görüntülerini veya marketten önceden oluşturulmuş görüntülerin kullanılmasını destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Özel Kapsayıcı Görüntüleri
Açıklama: Hizmet, önceden uygulanan belirli temel yapılandırmalarla kullanıcı tarafından sağlanan kapsayıcı görüntülerini veya marketten önceden oluşturulmuş görüntülerin kullanılmasını destekler. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
Özellikler
Microsoft Defender kullanarak Güvenlik Açığı Değerlendirmesi
Açıklama: Hizmet, Bulut için Microsoft Defender veya diğer Microsoft Defender hizmetlerinin ekli güvenlik açığı değerlendirmesi özelliği (sunucu, kapsayıcı kayıt defteri, App Service, SQL ve DNS dahil) kullanılarak güvenlik açığı taraması için taranabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: Azure HDInsight, güvenlik açığı değerlendirmesi için Microsoft Defender'ı yerel olarak desteklemez, kötü amaçlı yazılım koruması için ClamAV kullanır. Ancak, HDInsight için ESP kullanırken, Bulut için Microsoft Defender yerleşik tehdit algılama özelliğinden bazılarını kullanabilirsiniz. HDInsight ile ilişkilendirilmiş VM'leriniz için Microsoft Defender'ı da etkinleştirebilirsiniz.
HDInsight'tan tüm günlükleri SIEM'inize iletin. Bu günlükler özel tehdit algılamaları ayarlamak için kullanılabilir. Olası tehditler ve anomaliler için farklı azure varlık türlerini izlediğinize emin olun. Analistlerin sıralamasını yapmak için hatalı pozitif sonuçları azaltmak için yüksek kaliteli uyarılar almaya odaklanın. Uyarılar günlük verilerinden, aracılardan veya diğer verilerden kaynaklanabilir.
Yapılandırma Kılavuzu: Azure sanal makinelerinizde, kapsayıcı görüntülerinizde ve SQL sunucularınızda güvenlik açığı değerlendirmeleri gerçekleştirmek için Bulut için Microsoft Defender önerilerini izleyin.
Not: Azure HDInsight yerel olarak defender'ı desteklemez, ClamAV kullanır. Ancak, HDInsight için ESP kullanırken, Bulut için Microsoft Defender yerleşik tehdit algılama özelliğinden bazılarını kullanabilirsiniz. HDInsight ile ilişkilendirilmiş VM'leriniz için Microsoft Defender'ı da etkinleştirebilirsiniz.
HDInsight'tan tüm günlükleri SIEM'inize iletin. Bu günlükler özel tehdit algılamaları ayarlamak için kullanılabilir. Olası tehditler ve anomaliler için farklı azure varlık türlerini izlediğinize emin olun. Analistlerin sıralamasını yapmak için hatalı pozitif sonuçları azaltmak için yüksek kaliteli uyarılar almaya odaklanın. Uyarılar günlük verilerinden, aracılardan veya diğer verilerden kaynaklanabilir.
PV-6: Güvenlik açıklarını hızlı ve otomatik olarak düzeltme
Özellikler
Azure Otomasyonu Güncelleştirme Yönetimi
Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni kullanabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Paylaşılan |
Özellik notları: Ubuntu görüntüleri yayımlandıktan sonra üç ay içinde yeni Azure HDInsight kümesi oluşturmak için kullanılabilir hale gelir. Çalışan kümeler otomatik olarak eşleşmez. Müşterilerin çalışan bir kümeye düzeltme eki uygulamak için betik eylemlerini veya diğer mekanizmaları kullanması gerekir. En iyi uygulama olarak, bu betik eylemlerini çalıştırabilir ve küme oluşturulduktan hemen sonra güvenlik güncelleştirmelerini uygulayabilirsiniz.
Yapılandırma Kılavuzu: En son güvenlik güncelleştirmelerinin Windows ve Linux VM'lerinize yüklendiğinden emin olmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni veya üçüncü taraf bir çözümü kullanın. Windows VM'leri için Windows Update'in etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.
Not: Ubuntu görüntüleri yayımlandıktan sonra üç ay içinde yeni Azure HDInsight kümesi oluşturmak için kullanılabilir hale gelir. Çalışan kümeler otomatik olarak eşleşmez. Müşterilerin çalışan bir kümeye düzeltme eki uygulamak için betik eylemlerini veya diğer mekanizmaları kullanması gerekir. En iyi uygulama olarak, bu betik eylemlerini çalıştırabilir ve küme oluşturulduktan hemen sonra güvenlik güncelleştirmelerini uygulayabilirsiniz.
Başvuru: Güncelleştirme Yönetimi'ne genel bakış
Uç nokta güvenliği
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Uç nokta güvenliği.
ES-1: Uç Nokta Algılama ve Yanıt Kullanma (EDR)
Özellikler
EDR Çözümü
Açıklama: Sunucular için Azure Defender gibi Uç Nokta Algılama ve Yanıt (EDR) özelliği uç noktaya dağıtılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Özellik notları: Azure HDInsight yerel olarak Uç Nokta için Microsoft Defender desteklemez, kötü amaçlı yazılım koruması için ClamAV kullanır.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Kümemde devre dışı bırakabilir Clamscan miyim?
ES-2: Modern kötü amaçlı yazılımdan koruma yazılımı kullanma
Özellikler
Kötü Amaçlı Yazılımdan Koruma Çözümü
Açıklama: Microsoft Defender Virüsten Koruma gibi kötü amaçlı yazılımdan koruma özelliği Uç Nokta için Microsoft Defender uç noktaya dağıtılabilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Özellik notları: Azure HDInsight, ClamAV kullanır. ClamAV günlüklerini merkezi bir SIEM'e veya başka bir algılama ve uyarı sistemine iletin.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Güvenlik ve Sertifikalar
ES-3: Kötü amaçlı yazılımdan koruma yazılımının ve imzalarının güncelleştirildiğinden emin olun
Özellikler
Kötü Amaçlı Yazılımdan Koruma Çözümü Sistem Durumu İzleyicisi
Açıklama: Kötü amaçlı yazılımdan koruma çözümü platform, altyapı ve otomatik imza güncelleştirmeleri için sistem durumu izlemesi sağlar. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| True | True | Microsoft |
Özellik notları: Azure HDInsight, küme düğümü görüntüleri için Clamscan önceden yüklenmiş ve etkin olarak gelir. Clamscan, altyapı ve tanım güncelleştirmelerini otomatik olarak gerçekleştirecek ve ClamAV'nin resmi virüs imzası veritabanına göre kötü amaçlı yazılımdan koruma imzalarını güncelleştirecek.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Güvenlik ve Sertifikalar
Yedekleme ve kurtarma
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| False | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Customer |
Özellik notları: HBase Dışarı Aktarma ve HBase Çoğaltma, HDInsight HBase kümeleri arasında iş sürekliliğini etkinleştirmenin yaygın yollarıdır.
HBase Dışarı Aktarma, birincil HBase kümesindeki tabloları temel alınan Azure Data Lake Storage 2. Nesil depolama alanına aktarmak için HBase Dışarı Aktarma Yardımcı Programı'nı kullanan bir toplu çoğaltma işlemidir. Dışarı aktarılan verilere ikincil HBase kümesinden erişilebilir ve ikincil kümede önceden bulunması gereken tablolara aktarılabilir. HBase Dışarı Aktarma tablo düzeyi ayrıntı düzeyi sunarken, artımlı güncelleştirme durumlarında, dışarı aktarma otomasyonu altyapısı her çalıştırmaya eklenecek artımlı satır aralığını denetler.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: HDInsight üzerinde Apache HBase ve Apache Phoenix için yedekleme ve çoğaltmayı ayarlama
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin