Baseline di sicurezza di Azure per HDInsight
Questa baseline di sicurezza applica indicazioni dal benchmark di sicurezza cloud Microsoft versione 1.0 a HDInsight. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili a HDInsight.
È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.
Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.
Nota
Le funzionalità non applicabili a HDInsight sono state escluse. Per informazioni sul mapping completo di HDInsight al benchmark di sicurezza del cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza di HDInsight.
Profilo di sicurezza
Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di HDInsight, che possono comportare un aumento delle considerazioni sulla sicurezza.
| Attributo comportamento del servizio | Valore |
|---|---|
| Product Category | Analisi |
| Il cliente può accedere a HOST/sistema operativo | Sola lettura |
| Il servizio può essere distribuito nella rete virtuale del cliente | Vero |
| Archivia i contenuti dei clienti inattivi | Vero |
Sicurezza di rete
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.
Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete
Funzionalità
Integrazione della rete virtuale
Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: la sicurezza perimetrale in Azure HDInsight viene ottenuta tramite reti virtuali. Un amministratore dell'organizzazione può creare un cluster all'interno di una rete virtuale e usare un gruppo di sicurezza di rete per limitare l'accesso alla rete virtuale.
Linee guida per la configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non vi sia un motivo sicuro per assegnare indirizzi IP pubblici direttamente alla risorsa.
Nota: in base alle applicazioni e alla strategia di segmentazione aziendale, limitare o consentire il traffico tra le risorse interne in base alle regole del gruppo di sicurezza di rete. Per applicazioni specifiche e ben definite, ad esempio un'app a tre livelli, può trattarsi di un'opzione di negazione altamente sicura per impostazione predefinita.
Riferimento: Pianificare una rete virtuale per Azure HDInsight
Supporto del gruppo di sicurezza di rete
Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: la sicurezza perimetrale in Azure HDInsight viene ottenuta tramite reti virtuali. Un amministratore dell'organizzazione può creare un cluster all'interno di una rete virtuale e usare un gruppo di sicurezza di rete per limitare l'accesso alla rete virtuale. Solo gli indirizzi IP consentiti nelle regole del gruppo di sicurezza di rete in ingresso possono comunicare con il cluster Azure HDInsight. Questa configurazione offre sicurezza perimetrale. Tutti i cluster distribuiti in una rete virtuale avranno anche un endpoint privato. L'endpoint verrà risolto in un indirizzo IP privato all'interno del Rete virtuale. Fornisce l'accesso HTTP privato ai gateway del cluster.
In base alle applicazioni e alla strategia di segmentazione aziendale, limitare o consentire il traffico tra le risorse interne in base alle regole del gruppo di sicurezza di rete. Per applicazioni specifiche e ben definite, ad esempio un'app a tre livelli, può trattarsi di un'opzione di negazione altamente sicura per impostazione predefinita.
Le porte richieste in genere in tutti i tipi di cluster:
22-23 - Accesso SSH alle risorse del cluster
443 - Ambari, API REST WebHCat, HiveServer ODBC e JDBC
Linee guida per la configurazione: usare i gruppi di sicurezza di rete (NSG) per limitare o monitorare il traffico in base a porta, protocollo, indirizzo IP di origine o indirizzo IP di destinazione. Creare regole del gruppo di sicurezza di rete per limitare le porte aperte del servizio, ad esempio per impedire l'accesso alle porte di gestione da reti non attendibili. Per impostazione predefinita, i gruppi di sicurezza di rete rifiutano tutto il traffico in ingresso, ma consentono il traffico dalla rete virtuale e dai servizi di bilanciamento del carico di Azure.
Riferimento: Controllare il traffico di rete in Azure HDInsight
Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete
Funzionalità
Collegamento privato di Azure
Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: usare collegamento privato di Azure per abilitare l'accesso privato a HDInsight dalle reti virtuali senza attraversare Internet. L'accesso privato aggiunge una misura di difesa avanzata all'autenticazione di Azure e alla sicurezza del traffico.
Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato per stabilire un punto di accesso privato per le risorse.
Nota: usare collegamento privato di Azure per abilitare l'accesso privato a HDInsight dalle reti virtuali senza attraversare Internet. L'accesso privato aggiunge una misura di difesa avanzata all'autenticazione di Azure e alla sicurezza del traffico.
Riferimento: Abilitare collegamento privato in un cluster HDInsight
Disabilitare l'accesso alla rete pubblica
Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: disabilitare l'accesso alla rete pubblica usando la regola di filtro ACL ip a livello di servizio o un commutatore di attivazione/disattivazione per l'accesso alla rete pubblica.
Riferimento: Limitare la connettività pubblica in Azure HDInsight
Gestione delle identità
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.
IM-1: usare un sistema di identità e autenticazione centralizzato
Funzionalità
Autenticazione di Azure AD obbligatoria per l'accesso al piano dati
Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.
Informazioni di riferimento: Panoramica della sicurezza aziendale in Azure HDInsight
Metodi di autenticazione locali per l'accesso al piano dati
Descrizione: i metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: quando viene creato un cluster HDI, vengono creati due account di amministratore locale nel piano dati (Apache Ambari). Uno corrispondente all'utente per il quale le credenziali vengono passate dall'autore del cluster. L'altro viene creato dal piano di controllo HDI. Il piano di controllo HDI usa questo account per effettuare chiamate al piano dati. Evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
IM-3: gestire le identità delle applicazioni in modo sicuro e automatico
Funzionalità
Identità gestite
Descrizione: le azioni del piano dati supportano l'autenticazione usando identità gestite. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Entità servizio
Descrizione: il piano dati supporta l'autenticazione usando le entità servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-7: limitare l'accesso alle risorse in base alle condizioni
Funzionalità
Accesso condizionale per il piano dati
Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
IM-8: limitare l'esposizione di credenziali e segreti
Funzionalità
Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault
Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio credenziali e segreti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Accesso con privilegi
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Accesso con privilegi.
PA-1: separare e limitare gli utenti con privilegi elevati/amministratori
Funzionalità
Account di Amministrazione locali
Descrizione: il servizio ha il concetto di un account amministrativo locale. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: quando viene creato un cluster HDI, vengono creati due account di amministratore locale nel piano dati (Apache Ambari). Uno corrispondente all'utente per il quale le credenziali vengono passate dall'autore del cluster. L'altro viene creato dal piano di controllo HDI. Il piano di controllo HDI usa questo account per effettuare chiamate al piano dati. Evitare l'utilizzo di metodi di autenticazione locali o account, questi devono essere disabilitati ovunque possibile. Usare invece Azure AD per eseguire l'autenticazione, se possibile.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.
PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)
Funzionalità
Controllo degli accessi in base al ruolo di Azure per il piano dati
Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulle funzionalità: il piano dati supporta solo i ruoli basati su Ambari. L'ACL con granularità fine viene eseguita tramite Ranger.
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud
Funzionalità
Customer Lockbox
Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: negli scenari di supporto in cui Microsoft deve accedere ai dati dei clienti, HDInsight supporta Customer Lockbox. Fornisce un'interfaccia per esaminare le richieste di accesso ai dati dei clienti e approvare o rifiutarle.
Indicazioni sulla configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, approvare o rifiutare le richieste di accesso ai dati di Microsoft.
Informazioni di riferimento: Customer Lockbox per Microsoft Azure
Protezione dei dati
Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.
DP-1: Individuare, classificare ed etichettare i dati sensibili
Funzionalità
Individuazione e classificazione dei dati sensibili
Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: usare i tag nelle risorse correlate alle distribuzioni di Azure HDInsight per consentire il rilevamento delle risorse di Azure che archiviano o elaborano informazioni sensibili. Classificare e identificare i dati sensibili usando Microsoft Purview. Usare il servizio per tutti i dati archiviati nei database SQL o negli account di archiviazione di Azure associati al cluster HDInsight.
Per la piattaforma sottostante, gestita da Microsoft, Microsoft considera tutti i contenuti dei clienti come sensibili. Microsoft passa a grandi lunghezze per proteggere la perdita e l'esposizione dei dati dei clienti. Per garantire che i dati dei clienti in Azure rimangano protetti, Microsoft ha implementato e applica un gruppo di controlli e funzionalità affidabili per la protezione dei dati.
Linee guida per la configurazione: usare strumenti come Azure Purview, Azure Information Protection e Azure SQL Individuazione dati e classificazione per analizzare in modo centralizzato, classificare ed etichettare i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 o in altre posizioni.
Informazioni di riferimento: Protezione dei dati dei clienti di Azure
DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili
Funzionalità
Prevenzione della perdita/perdita dei dati
Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.
DP-3: Crittografare i dati sensibili in movimento
Funzionalità
Crittografia dei dati in transito
Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Note sulle funzionalità: HDInsight supporta la crittografia dei dati in transito con TLS v1.2 o versione successiva. Crittografare tutte le informazioni riservate in transito. Assicurarsi che tutti i client che si connettono al cluster o agli archivi dati del cluster di Azure HDInsight (account di archiviazione di Azure o Azure Data Lake Storage Gen1/Gen2) possano negoziare TLS 1.2 o versione successiva. Le risorse di Microsoft Azure negozieranno TLS 1.2 per impostazione predefinita.
Per integrare i controlli di accesso, proteggere i dati in transito dagli attacchi "fuori banda" come l'acquisizione del traffico. Usare la crittografia per assicurarsi che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Per la gestione remota, usare SSH (per Linux) o RDP/TLS (per Windows) invece di un protocollo non crittografato. È consigliabile disabilitare i protocolli e le versioni di SSL, TLS, SSH obsoleti e la crittografia debole.
Linee guida per la configurazione: abilitare il trasferimento sicuro nei servizi in cui sono presenti dati nativi nella funzionalità di crittografia di transito incorporata. Applicare HTTPS in qualsiasi applicazione Web e servizi e assicurarsi che TLS v1.2 o versione successiva venga usato. Le versioni legacy, ad esempio SSL 3.0, TLS v1.0 devono essere disabilitate. Per la gestione remota di Macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Nota: HDInsight supporta la crittografia dei dati in transito con TLS v1.2 o versione successiva. Crittografare tutte le informazioni riservate in transito. Assicurarsi che tutti i client che si connettono al cluster o agli archivi dati del cluster di Azure HDInsight (account di archiviazione di Azure o Azure Data Lake Storage Gen1/Gen2) possano negoziare TLS 1.2 o versione successiva. Le risorse di Microsoft Azure negozieranno TLS 1.2 per impostazione predefinita.
Per integrare i controlli di accesso, proteggere i dati in transito dagli attacchi "fuori banda" come l'acquisizione del traffico. Usare la crittografia per assicurarsi che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Per la gestione remota, usare SSH (per Linux) o RDP/TLS (per Windows) invece di un protocollo non crittografato. È consigliabile disabilitare i protocolli e le versioni di SSL, TLS, SSH obsoleti e la crittografia debole.
Per impostazione predefinita, Azure fornisce la crittografia per i dati in transito tra i data center di Azure.
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
Funzionalità
Dati inattivi crittografia tramite chiavi della piattaforma
Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Note sulla funzionalità: se si usa Azure SQL Database per archiviare i metadati Apache Hive e Apache Oozie, assicurarsi che i dati SQL rimangano sempre crittografati. Per gli account di archiviazione di Azure e i Data Lake Storage (Gen1 o Gen2), è consigliabile consentire a Microsoft di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi.
HDInsight supporta più tipi di crittografia in due livelli diversi:
Crittografia lato server : la crittografia del servizio di archiviazione viene eseguita dal servizio di archiviazione. In HDInsight la crittografia del servizio di archiviazione viene usata per crittografare dischi del sistema operativo e dischi dati. Questa opzione è abilitata per impostazione predefinita. SSE è un servizio di crittografia di livello 1.
Crittografia nell'host tramite chiave gestita dalla piattaforma: simile alla crittografia del servizio di archiviazione, questo tipo di crittografia viene eseguito dal servizio di archiviazione. Tuttavia, è solo per i dischi temporanei e non è abilitato per impostazione predefinita. La crittografia nell'host è anche un servizio di crittografia di livello 1.
Crittografia dei dati inattivi usando la chiave gestita dal cliente: questo tipo di crittografia può essere usato nei dati e nei dischi temporanei. Non è abilitato per impostazione predefinita e richiede al cliente di fornire la propria chiave tramite Azure Key Vault. La crittografia dei dati inattivi è un servizio di crittografia di livello 2.
Linee guida per la configurazione: abilitare la crittografia dei dati inattivi usando chiavi gestite dalla piattaforma (gestite da Microsoft) in cui non vengono configurati automaticamente dal servizio.
Nota: se si usa Azure SQL Database per archiviare i metadati Apache Hive e Apache Oozie, assicurarsi che i dati SQL rimangano sempre crittografati. Per gli account di archiviazione di Azure e i Data Lake Storage (Gen1 o Gen2), è consigliabile consentire a Microsoft di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi.
HDInsight supporta più tipi di crittografia in due livelli diversi:
Crittografia lato server : la crittografia del servizio di archiviazione viene eseguita dal servizio di archiviazione. In HDInsight la crittografia del servizio di archiviazione viene usata per crittografare dischi del sistema operativo e dischi dati. Questa opzione è abilitata per impostazione predefinita. SSE è un servizio di crittografia di livello 1.
Crittografia nell'host tramite chiave gestita dalla piattaforma: simile alla crittografia del servizio di archiviazione, questo tipo di crittografia viene eseguito dal servizio di archiviazione. Tuttavia, è solo per i dischi temporanei e non è abilitato per impostazione predefinita. La crittografia nell'host è anche un servizio di crittografia di livello 1.
Crittografia dei dati inattivi usando la chiave gestita dal cliente: questo tipo di crittografia può essere usato nei dati e nei dischi temporanei. Non è abilitato per impostazione predefinita e richiede al cliente di fornire la propria chiave tramite Azure Key Vault. La crittografia dei dati inattivi è un servizio di crittografia di livello 2.
Riferimento: Crittografia doppia di Azure HDInsight per i dati inattivi
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
Funzionalità
Crittografia dei dati inattivi tramite chiave gestita dal cliente
Descrizione: la crittografia dei dati inattivi che usano chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Note sulla funzionalità: se si usa Azure SQL Database per archiviare i metadati Apache Hive e Apache Oozie, assicurarsi che i dati SQL rimangano sempre crittografati. Per gli account di archiviazione di Azure e i Data Lake Storage (Gen1 o Gen2), è consigliabile consentire a Microsoft di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi.
HDInsight supporta più tipi di crittografia in due livelli diversi:
Crittografia lato server : la crittografia del servizio di archiviazione viene eseguita dal servizio di archiviazione. In HDInsight la crittografia del servizio di archiviazione viene usata per crittografare dischi del sistema operativo e dischi dati. Questa opzione è abilitata per impostazione predefinita. SSE è un servizio di crittografia di livello 1.
Crittografia nell'host tramite chiave gestita dalla piattaforma: simile alla crittografia del servizio di archiviazione, questo tipo di crittografia viene eseguito dal servizio di archiviazione. Tuttavia, è solo per i dischi temporanei e non è abilitato per impostazione predefinita. La crittografia nell'host è anche un servizio di crittografia di livello 1.
Crittografia dei dati inattivi usando la chiave gestita dal cliente: questo tipo di crittografia può essere usato nei dati e nei dischi temporanei. Non è abilitato per impostazione predefinita e richiede al cliente di fornire la propria chiave tramite Azure Key Vault. La crittografia dei dati inattivi è un servizio di crittografia di livello 2.
Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria la crittografia tramite chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.
Nota: se si usa Azure SQL Database per archiviare i metadati Apache Hive e Apache Oozie, assicurarsi che i dati SQL rimangano sempre crittografati. Per gli account di archiviazione di Azure e i Data Lake Storage (Gen1 o Gen2), è consigliabile consentire a Microsoft di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi.
HDInsight supporta più tipi di crittografia in due livelli diversi:
Crittografia lato server : la crittografia del servizio di archiviazione viene eseguita dal servizio di archiviazione. In HDInsight la crittografia del servizio di archiviazione viene usata per crittografare dischi del sistema operativo e dischi dati. Questa opzione è abilitata per impostazione predefinita. SSE è un servizio di crittografia di livello 1.
Crittografia nell'host tramite chiave gestita dalla piattaforma: simile alla crittografia del servizio di archiviazione, questo tipo di crittografia viene eseguito dal servizio di archiviazione. Tuttavia, è solo per i dischi temporanei e non è abilitato per impostazione predefinita. La crittografia nell'host è anche un servizio di crittografia di livello 1.
Crittografia dei dati inattivi usando la chiave gestita dal cliente: questo tipo di crittografia può essere usato nei dati e nei dischi temporanei. Non è abilitato per impostazione predefinita e richiede al cliente di fornire la propria chiave tramite Azure Key Vault. La crittografia dei dati inattivi è un servizio di crittografia di livello 2.
Riferimento: Crittografia doppia di Azure HDInsight per i dati inattivi
DP-6: Usare un processo di gestione delle chiavi sicure
Funzionalità
Gestione delle chiavi - Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per qualsiasi chiave cliente, segreti o certificati. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Note sulla funzionalità: se si usa Azure SQL Database per archiviare i metadati Apache Hive e Apache Oozie, assicurarsi che i dati SQL rimangano sempre crittografati. Per gli account di archiviazione di Azure e i Data Lake Storage (Gen1 o Gen2), è consigliabile consentire a Microsoft di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi.
HDInsight supporta più tipi di crittografia in due livelli diversi:
Crittografia lato server : la crittografia del servizio di archiviazione viene eseguita dal servizio di archiviazione. In HDInsight la crittografia del servizio di archiviazione viene usata per crittografare dischi del sistema operativo e dischi dati. Questa opzione è abilitata per impostazione predefinita. SSE è un servizio di crittografia di livello 1.
Crittografia nell'host tramite chiave gestita dalla piattaforma: simile alla crittografia del servizio di archiviazione, questo tipo di crittografia viene eseguito dal servizio di archiviazione. Tuttavia, è solo per i dischi temporanei e non è abilitato per impostazione predefinita. La crittografia nell'host è anche un servizio di crittografia di livello 1.
Crittografia dei dati inattivi usando la chiave gestita dal cliente: questo tipo di crittografia può essere usato nei dati e nei dischi temporanei. Non è abilitato per impostazione predefinita e richiede al cliente di fornire la propria chiave tramite Azure Key Vault. La crittografia dei dati inattivi è un servizio di crittografia di livello 2.
Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o in caso di ritiro o compromissione della chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi: usare una gerarchia di chiavi per generare una chiave DEK (Data Encryption Key) separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi. Verificare che le chiavi siano registrate in Azure Key Vault e a cui si fa riferimento tramite ID chiave dal servizio o dall'applicazione. Se è necessario portare la propria chiave (BYOK) nel servizio ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento di chiavi iniziali.
Nota: se si usa Azure Key Vault con la distribuzione di Azure HDInsight, testare periodicamente il ripristino delle chiavi gestite dal cliente di cui è stato eseguito il backup.
Riferimento: Crittografia doppia di Azure HDInsight per i dati inattivi
DP-7: Usare un processo di gestione dei certificati sicuro
Funzionalità
Gestione dei certificati in Azure Key Vault
Descrizione: il servizio supporta l'integrazione di Azure Key Vault per tutti i certificati dei clienti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Crittografia doppia di Azure HDInsight per i dati inattivi
Gestione degli asset
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione degli asset.
AM-2: Utilizzare solo servizi approvati
Funzionalità
Supporto di Criteri di Azure
Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: usare gli alias Criteri di Azure nello spazio dei nomi "Microsoft.HDInsight" per creare criteri personalizzati. Configurare i criteri per controllare o applicare la configurazione di rete del cluster HDInsight.
Se si dispone di una sottoscrizione Rapid7, Qualys o qualsiasi altra piattaforma di gestione delle vulnerabilità, sono disponibili opzioni. È possibile usare azioni script per installare gli agenti di valutazione della vulnerabilità nei nodi del cluster Azure HDInsight e gestire i nodi tramite il rispettivo portale.
Con AZURE HDInsight ESP è possibile usare Apache Ranger per creare e gestire criteri di offuscamento degli accessi e criteri di offuscamento dei dati con granularità fine. È possibile eseguire questa operazione per i dati archiviati in: File/Cartelle/Database/Tabelle/Righe/Colonne.
L'amministratore di Hadoop può configurare il controllo degli accessi in base al ruolo di Azure per proteggere Apache Hive, HBase, Kafka e Spark usando tali plug-in in Apache Ranger.
Linee guida per la configurazione: usare Microsoft Defender for Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare gli effetti Criteri di Azure [deny] e [deploy if not exists] per applicare la configurazione sicura tra le risorse di Azure.
Riferimento: Criteri di Azure definizioni predefinite per Azure HDInsight
AM-5: Usare solo applicazioni approvate nella macchina virtuale
Funzionalità
Microsoft Defender per il cloud - Controlli applicazioni adattivi
Descrizione: il servizio può limitare le applicazioni dei clienti eseguite nella macchina virtuale usando i controlli applicazioni adattivi in Microsoft Defender for Cloud. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Note sulla funzionalità: Azure HDInsight non supporta defender in modo nativo; tuttavia, usa ClamAV. Inoltre, quando si usa ESP per HDInsight, è possibile usare alcune delle Microsoft Defender per la funzionalità di rilevamento delle minacce predefinita cloud. È anche possibile abilitare Microsoft Defender per le macchine virtuali associate a HDInsight.
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Registrazione e rilevamento delle minacce
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Registrazione e rilevamento delle minacce.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
Funzionalità
Microsoft Defender per l'offerta di servizi/prodotti
Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
LT-4: abilitare la registrazione per l'analisi della sicurezza
Funzionalità
Log delle risorse di Azure
Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: i log attività sono disponibili automaticamente. I log contengono tutte le operazioni PUT, POST e DELETE, ma non GET, per le risorse HDInsight, ad eccezione delle operazioni di lettura (GET). È possibile usare i log attività per individuare gli errori durante la risoluzione dei problemi o per monitorare il modo in cui gli utenti dell'organizzazione hanno modificato le risorse.
Abilitare i log delle risorse di Azure per HDInsight. È possibile usare Microsoft Defender for Cloud e Criteri di Azure per abilitare la raccolta dei log delle risorse e dei dati di log. Questi log possono essere fondamentali per l'analisi degli eventi imprevisti di sicurezza e per l'esecuzione di esercizi forensi.
HDInsight produce anche log di controllo di sicurezza per gli account di amministrazione locali. Abilitare questi log di controllo dell'amministratore locale.
Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL hanno log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
Informazioni di riferimento: Gestire i log per un cluster HDInsight
Comportamento e gestione delle vulnerabilità
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione del comportamento e della vulnerabilità.
PV-3: Definire e stabilire configurazioni sicure per le risorse di calcolo
Funzionalità
State Configuration di Automazione di Azure
Descrizione: Automazione di Azure State Configuration può essere usata per mantenere la configurazione di sicurezza del sistema operativo. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulla funzionalità: le immagini del sistema operativo Azure HDInsight vengono gestite e gestite da Microsoft. Tuttavia, il cliente è responsabile dell'implementazione della configurazione dello stato a livello di sistema operativo per tale immagine. I modelli di macchine virtuali Microsoft combinati con Automazione di Azure State Configuration consentono di soddisfare e gestire i requisiti di sicurezza.
Linee guida per la configurazione: usare Automazione di Azure State Configuration per mantenere la configurazione di sicurezza del sistema operativo.
Informazioni di riferimento: panoramica di Automazione di Azure State Configuration
Agente di configurazione guest Criteri di Azure
Descrizione: Criteri di Azure agente di configurazione guest può essere installato o distribuito come estensione per le risorse di calcolo. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Informazioni di riferimento: comprendere la funzionalità di configurazione del computer di Gestione automatica di Azure
Immagini di macchine virtuali personalizzate
Descrizione: il servizio supporta l'uso di immagini vm fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Immagini di contenitori personalizzati
Descrizione: il servizio supporta l'uso di immagini contenitore fornite dall'utente o immagini predefinite dal marketplace con determinate configurazioni di base pre-applicate. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
PV-5: Eseguire valutazioni delle vulnerabilità
Funzionalità
Valutazione della vulnerabilità con Microsoft Defender
Descrizione: il servizio può essere analizzato per l'analisi delle vulnerabilità usando Microsoft Defender per cloud o altri servizi di valutazione delle vulnerabilità incorporati di Microsoft Defender (tra cui Microsoft Defender per server, registro contenitori, servizio app, SQL e DNS). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: Azure HDInsight non supporta Microsoft Defender per la valutazione della vulnerabilità in modo nativo, usa ClamAV per la protezione da malware. Tuttavia, quando si usa ESP per HDInsight, è possibile usare alcune delle Microsoft Defender per la funzionalità di rilevamento delle minacce predefinita cloud. È anche possibile abilitare Microsoft Defender per le macchine virtuali associate a HDInsight.
Inoltrare tutti i log da HDInsight al siem, che può essere usato per configurare rilevamenti di minacce personalizzati. Assicurarsi di monitorare diversi tipi di asset di Azure per individuare potenziali minacce e anomalie. Concentrarsi sul recupero di avvisi di alta qualità per ridurre i falsi positivi per gli analisti da ordinare. Gli avvisi possono essere originati da dati di log, agenti o altri dati.
Linee guida per la configurazione: seguire le raccomandazioni di Microsoft Defender for Cloud per eseguire valutazioni delle vulnerabilità nelle macchine virtuali di Azure, nelle immagini dei contenitori e nei server SQL.
Nota: Azure HDInsight non supporta defender in modo nativo, usa ClamAV. Tuttavia, quando si usa ESP per HDInsight, è possibile usare alcune delle Microsoft Defender per la funzionalità di rilevamento delle minacce predefinita cloud. È anche possibile abilitare Microsoft Defender per le macchine virtuali associate a HDInsight.
Inoltrare tutti i log da HDInsight al siem, che può essere usato per configurare rilevamenti di minacce personalizzati. Assicurarsi di monitorare diversi tipi di asset di Azure per individuare potenziali minacce e anomalie. Concentrarsi sul recupero di avvisi di alta qualità per ridurre i falsi positivi per gli analisti da ordinare. Gli avvisi possono essere originati da dati di log, agenti o altri dati.
PV-6: Correggere in modo rapido e automatico le vulnerabilità del software
Funzionalità
Automazione di Azure - Gestione aggiornamenti
Descrizione: il servizio può usare Automazione di Azure Gestione aggiornamenti per distribuire automaticamente patch e aggiornamenti. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Condiviso |
Note sulla funzionalità: le immagini Ubuntu diventano disponibili per la creazione di nuovi cluster Azure HDInsight entro tre mesi dalla pubblicazione. I cluster in esecuzione non vengono eseguiti automaticamente. I clienti devono usare azioni script o altri meccanismi per applicare patch a un cluster in esecuzione. Come procedura consigliata, è possibile eseguire queste azioni script e applicare gli aggiornamenti della sicurezza subito dopo la creazione del cluster.
Linee guida per la configurazione: usare Automazione di Azure Gestione aggiornamenti o una soluzione di terze parti per assicurarsi che gli aggiornamenti della sicurezza più recenti siano installati nelle macchine virtuali Windows e Linux. Per le macchine virtuali Windows, assicurarsi che Windows Update sia stato abilitato e impostato per l'aggiornamento automatico.
Nota: le immagini Ubuntu diventano disponibili per la creazione di nuovi cluster Azure HDInsight entro tre mesi dalla pubblicazione. I cluster in esecuzione non vengono eseguiti automaticamente. I clienti devono usare azioni script o altri meccanismi per applicare patch a un cluster in esecuzione. Come procedura consigliata, è possibile eseguire queste azioni script e applicare gli aggiornamenti della sicurezza subito dopo la creazione del cluster.
Informazioni di riferimento: Panoramica di Gestione aggiornamenti
Sicurezza degli endpoint
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza degli endpoint.
ES-1: Usare la funzionalità di rilevamento e reazione dagli endpoint (EDR)
Funzionalità
Soluzione EDR
Descrizione: la funzionalità Rilevamento endpoint e risposta (EDR), ad esempio Azure Defender per server, può essere distribuita nell'endpoint. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure HDInsight non supporta Microsoft Defender per endpoint in modo nativo, usa ClamAV per la protezione da malware.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: È possibile disabilitare Clamscan nel cluster?
ES-2: Usare un software antimalware moderno
Funzionalità
Soluzione antimalware
Descrizione: funzionalità antimalware, ad esempio Microsoft Defender Antivirus, Microsoft Defender per endpoint possono essere distribuite nell'endpoint. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure HDInsight usa ClamAV. Inoltrare i log clamAV a un sistema di rilevamento e avviso centralizzato o siem.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Sicurezza e certificati
ES-3: Assicurarsi che il software antimalware e le firme siano aggiornati
Funzionalità
Monitoraggio dell'integrità della soluzione antimalware
Descrizione: la soluzione antimalware fornisce il monitoraggio dello stato di integrità per gli aggiornamenti automatici della piattaforma, del motore e della firma automatica. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| True | True | Microsoft |
Note sulle funzionalità: Azure HDInsight viene fornito con Clamscan preinstallato e abilitato per le immagini dei nodi del cluster. Clamscan eseguirà automaticamente gli aggiornamenti del motore e delle definizioni e aggiornerà le firme antimalware in base al database ufficiale della firma del virus di ClamAV.
Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.
Riferimento: Sicurezza e certificati
Backup e ripristino
Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.
BR-1: Assicurare backup regolari automatici
Funzionalità
Backup di Azure
Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Falso | Non applicabile | Non applicabile |
Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.
Funzionalità di backup nativo del servizio
Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni
| Supportato | Abilitato per impostazione predefinita | Responsabilità della configurazione |
|---|---|---|
| Vero | Falso | Customer |
Note sulle funzionalità: L'esportazione HBase e la replica HBase sono modi comuni per abilitare la continuità aziendale tra i cluster HBase di HDInsight.
HBase Export è un processo di replica batch che usa l'utilità di esportazione HBase per esportare le tabelle dal cluster HBase primario alla risorsa di archiviazione di Azure Data Lake Storage Gen 2 sottostante. È quindi possibile accedere ai dati esportati dal cluster HBase secondario e importati in tabelle che devono essere preesistenti nel database secondario. Mentre L'esportazione HBase offre granularità a livello di tabella, in situazioni di aggiornamento incrementale, il motore di automazione dell'esportazione controlla l'intervallo di righe incrementali da includere in ogni esecuzione.
Linee guida per la configurazione: non sono disponibili indicazioni microsoft correnti per questa configurazione di funzionalità. Esaminare e determinare se l'organizzazione vuole configurare questa funzionalità di sicurezza.
Riferimento: Configurare il backup e la replica per Apache HBase e Apache Phoenix in HDInsight
Passaggi successivi
- Vedere la panoramica di Microsoft Cloud Security Benchmark
- Altre informazioni su Baseline di sicurezza di Azure