HDInsight のセキュリティ領域について説明する
あなたは、HDInsight クラスターのエンタープライズ セキュリティを担当するデータ アーキテクトとして、さまざまな脅威ベクトルと、その各要件がどのように満たされているかを把握する必要があります。
エンタープライズ セキュリティと共同責任モデル
セキュリティは Azure の基本的なプロパティです。物理データセンター、インフラストラクチャ、運用全体にわたって多層のセキュリティが提供され、何千人ものサイバー セキュリティの専門家がお客様のデータと資産を保護するために積極的に監視しています。 詳細については、Azure コンプライアンスの認定資格に関するページを参照してください。 Azure HDInsight クラスターのセキュリティは、Microsoft とお客様の間の共同責任です。 領域別の責任を次の表に示します。
Customer | Azure (HDInsight サービス プロバイダー) |
---|---|
データ アクセス セキュリティ | 物理インフラストラクチャ |
アプリケーションとミドルウェアのセキュリティ | 仮想化インフラストラクチャ |
オペレーティング システムのセキュリティ | |
ネットワークのセキュリティ |
HDInsight では、ほとんどの Azure サービスと同様に、物理および仮想化インフラストラクチャのセキュリティを提供する責任は Microsoft にあります。
物理インフラストラクチャのセキュリティとは、Azure のグローバルに分散されたデータセンター インフラストラクチャのセキュリティを指します。これは、ISO/IEC 27001:2013 や NIST SP 800-53 などの主要な業界標準で確認されています。 データ センター リソースへの不正な物理アクセスのリスクを最小限に抑えるために、階層型のアプローチが採用されています。 これらのレイヤーの一部を次に示します。
- 到達前のアクセス要求と承認。
- 施設の境界内のアクティビティの監視。
- ユーザー ID を認証するための生体認証を含む 2 要素認証。
- データセンター内の制限されたニーズ ベースの最小限のアクセス。 Microsoft データ センターでお客様の資産を運用し、物理的にセキュリティで保護する方法の詳細については、データ センターの物理的セキュリティのセクションを参照してください。
仮想化されたインフラストラクチャのセキュリティは、可用性の SLA、ネットワーク アーキテクチャ、運用、監視、整合性、およびデータ保護で構成されます。 「Azure インフラストラクチャのセキュリティ」のドキュメントを参照すると、仮想インフラストラクチャの資産を保護する Azure のしくみについて包括的に理解できます。
以降のセクションでは、設計方法について説明し、お客様の責任となるセキュリティ領域に関する手法を推奨します。