Linha de base de segurança do Azure para HDInsight
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao HDInsight. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao HDInsight.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis ao HDInsight foram excluídas. Para ver como o HDInsight mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do HDInsight.
Perfil de segurança
O perfil de segurança resume comportamentos de elevado impacto do HDInsight, o que pode resultar em considerações de segurança acrescidas.
Atributo comportamento do serviço | Valor |
---|---|
Product Category (Categoria de Produto) | Análise |
O cliente pode aceder ao HOST/SO | Só de Leitura |
O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
Armazena o conteúdo do cliente inativo | Verdadeiro |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: a segurança de perímetro no Azure HDInsight é obtida através de redes virtuais. Um administrador da empresa pode criar um cluster dentro de uma rede virtual e utilizar um grupo de segurança de rede (NSG) para restringir o acesso à rede virtual.
Orientação de Configuração: implemente o serviço numa rede virtual. Atribua IPs privados ao recurso (quando aplicável), a menos que exista um motivo forte para atribuir IPs públicos diretamente ao recurso.
Nota: com base nas suas aplicações e na estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base nas regras do NSG. Para aplicações específicas e bem definidas, como uma aplicação de três camadas, esta pode ser uma negação por predefinição altamente segura.
Referência: Planear uma rede virtual para o Azure HDInsight
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: a segurança de perímetro no Azure HDInsight é obtida através de redes virtuais. Um administrador da empresa pode criar um cluster dentro de uma rede virtual e utilizar um grupo de segurança de rede (NSG) para restringir o acesso à rede virtual. Apenas os endereços IP permitidos nas regras NSG de entrada podem comunicar com o cluster do Azure HDInsight. Esta configuração fornece segurança de perímetro. Todos os clusters implementados numa rede virtual também terão um ponto final privado. O ponto final será resolvido para um endereço IP privado dentro da Rede Virtual. Fornece acesso HTTP privado aos gateways de cluster.
Com base nas suas aplicações e na estratégia de segmentação empresarial, restrinja ou permita o tráfego entre recursos internos com base nas regras do NSG. Para aplicações específicas e bem definidas, como uma aplicação de três camadas, esta pode ser uma negação por predefinição altamente segura.
Geralmente, as portas são necessárias em todos os tipos de clusters:
22-23 - Acesso SSH aos recursos do cluster
443 - Ambari, API REST WebHCat, HiveServer ODBC e JDBC
Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Referência: Controlar o tráfego de rede no Azure HDInsight
NS-2: Proteger os serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: utilize Azure Private Link para permitir o acesso privado ao HDInsight a partir das suas redes virtuais sem atravessar a Internet. O acesso privado adiciona uma medida de defesa em profundidade à autenticação do Azure e à segurança de tráfego.
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Nota: utilize Azure Private Link para ativar o acesso privado ao HDInsight a partir das suas redes virtuais sem atravessar a Internet. O acesso privado adiciona uma medida de defesa em profundidade à autenticação do Azure e à segurança de tráfego.
Referência: Ativar Private Link num cluster do HDInsight
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: desative o acesso à rede pública através da regra de filtragem da ACL de IP ao nível do serviço ou de um comutador de alternância para acesso à rede pública.
Referência: Restringir a conectividade pública no Azure HDInsight
Gestão de identidades
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.
Referência: Descrição geral da segurança empresarial no Azure HDInsight
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: quando um cluster HDI é criado, são criadas duas contas de administrador local no plano de dados (Apache Ambari). Um correspondente ao utilizador para o qual a credencial é transmitida pelo criador do cluster. O outro é criado pelo plano de controlo HDI. O plano de controlo HDI utiliza esta conta para fazer chamadas de planos de dados. Evite a utilização de contas ou métodos de autenticação locais, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: quando um cluster HDI é criado, são criadas duas contas de administrador local no plano de dados (Apache Ambari). Um correspondente ao utilizador para o qual a credencial é transmitida pelo criador do cluster. O outro é criado pelo plano de controlo HDI. O plano de controlo HDI utiliza esta conta para fazer chamadas de planos de dados. Evite a utilização de contas ou métodos de autenticação locais, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: o plano de dados suporta apenas funções baseadas no Ambari. A ACL detalhada é feita através do Ranger.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: em cenários de suporte em que a Microsoft precisa de aceder aos dados do cliente, o HDInsight suporta o Sistema de Proteção de Dados do Cliente. Fornece uma interface para rever os pedidos de acesso aos dados do cliente e aprová-los ou rejeitá-los.
Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Sistema de Proteção de Dados do Cliente para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.
Referência: Sistema de Proteção de Dados do Cliente para o Microsoft Azure
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: utilize etiquetas em recursos relacionados com as implementações do Azure HDInsight para ajudar a controlar os recursos do Azure que armazenam ou processam informações confidenciais. Classificar e identificar dados confidenciais com o Microsoft Purview. Utilize o serviço para quaisquer dados armazenados em bases de dados SQL ou contas de Armazenamento do Azure associadas ao cluster do HDInsight.
Para a plataforma subjacente, que a Microsoft gere, a Microsoft trata todos os conteúdos dos clientes como confidenciais. A Microsoft faz tudo para se proteger contra a perda e exposição de dados dos clientes. Para garantir que os dados dos clientes no Azure permanecem seguros, a Microsoft implementou e mantém um conjunto de capacidades e controlos de proteção de dados robustos.
Orientação de Configuração: utilize ferramentas como o Azure Purview, o Azure Information Protection e SQL do Azure a Deteção e Classificação de Dados para analisar, classificar e etiquetar centralmente quaisquer dados confidenciais que residem no Azure, no local, no Microsoft 365 ou noutras localizações.
Referência: Proteção de dados do cliente do Azure
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: o HDInsight suporta a encriptação de dados em trânsito com o TLS v1.2 ou superior. Encriptar todas as informações confidenciais em trânsito. Certifique-se de que os clientes que se ligam ao cluster do Azure HDInsight ou aos arquivos de dados de cluster (Contas de Armazenamento do Azure ou Azure Data Lake Storage Gen1/Gen2) podem negociar o TLS 1.2 ou superior. Os recursos do Microsoft Azure negociarão o TLS 1.2 por predefinição.
Para complementar os controlos de acesso, proteja os dados em trânsito contra ataques "fora de banda", como a captura de tráfego. Utilize a encriptação para garantir que os atacantes não conseguem ler ou modificar facilmente os dados.
Para a gestão remota, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado. SSL obsoleto, TLS, versões e protocolos SSH e cifras fracas devem ser desativados.
Orientação de Configuração: ative a transferência segura nos serviços onde existe uma funcionalidade de encriptação de trânsito de dados nativos incorporada. Imponha HTTPS em quaisquer aplicações e serviços Web e certifique-se de que o TLS v1.2 ou posterior é utilizado. As versões legadas, como SSL 3.0, TLS v1.0, devem ser desativadas. Para a gestão remota de Máquinas Virtuais, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.
Nota: o HDInsight suporta a encriptação de dados em trânsito com o TLS v1.2 ou superior. Encriptar todas as informações confidenciais em trânsito. Certifique-se de que os clientes que se ligam ao cluster do Azure HDInsight ou aos arquivos de dados de cluster (Contas de Armazenamento do Azure ou Azure Data Lake Storage Gen1/Gen2) podem negociar o TLS 1.2 ou superior. Os recursos do Microsoft Azure negociarão o TLS 1.2 por predefinição.
Para complementar os controlos de acesso, proteja os dados em trânsito contra ataques "fora de banda", como a captura de tráfego. Utilize a encriptação para garantir que os atacantes não conseguem ler ou modificar facilmente os dados.
Para a gestão remota, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado. SSL obsoleto, TLS, versões e protocolos SSH e cifras fracas devem ser desativados.
Por predefinição, o Azure fornece encriptação para dados em trânsito entre datacenters do Azure.
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: se utilizar SQL do Azure Base de Dados para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL permanecem sempre encriptados. Para Contas de Armazenamento do Azure e Data Lake Storage (Gen1 ou Gen2), recomenda-se que a Microsoft faça a gestão das chaves de encriptação. No entanto, pode gerir as suas próprias chaves.
O HDInsight suporta vários tipos de encriptação em duas camadas diferentes:
Encriptação do Lado do Servidor (SSE) – a SSE é executada pelo serviço de armazenamento. No HDInsight, a SSE é utilizada para encriptar discos de SO e discos de dados. Está ativado por predefinição. A SSE é um serviço de encriptação de camada 1.
Encriptação no anfitrião com a chave gerida pela plataforma – semelhante à SSE, este tipo de encriptação é efetuado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está ativado por predefinição. A encriptação no anfitrião também é um serviço de encriptação de camada 1.
Encriptação inativa com a chave gerida pelo cliente – este tipo de encriptação pode ser utilizado em dados e discos temporários. Por predefinição, não está ativado e requer que o cliente forneça a sua própria chave através do cofre de chaves do Azure. A encriptação inativa é um serviço de encriptação de camada 2.
Orientação de Configuração: ative a encriptação inativa através de chaves geridas pela plataforma (geridas pela Microsoft) onde não são configuradas automaticamente pelo serviço.
Nota: se utilizar SQL do Azure Base de Dados para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL permanecem sempre encriptados. Para Contas de Armazenamento do Azure e Data Lake Storage (Gen1 ou Gen2), recomenda-se que a Microsoft faça a gestão das chaves de encriptação. No entanto, pode gerir as suas próprias chaves.
O HDInsight suporta vários tipos de encriptação em duas camadas diferentes:
Encriptação do Lado do Servidor (SSE) – a SSE é executada pelo serviço de armazenamento. No HDInsight, a SSE é utilizada para encriptar discos de SO e discos de dados. Está ativado por predefinição. A SSE é um serviço de encriptação de camada 1.
Encriptação no anfitrião com a chave gerida pela plataforma – semelhante à SSE, este tipo de encriptação é efetuado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está ativado por predefinição. A encriptação no anfitrião também é um serviço de encriptação de camada 1.
Encriptação inativa com a chave gerida pelo cliente – este tipo de encriptação pode ser utilizado em dados e discos temporários. Por predefinição, não está ativado e requer que o cliente forneça a sua própria chave através do cofre de chaves do Azure. A encriptação inativa é um serviço de encriptação de camada 2.
Referência: Encriptação dupla do Azure HDInsight para dados inativos
DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário
Funcionalidades
Dados na Encriptação Rest Com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: se utilizar SQL do Azure Base de Dados para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL permanecem sempre encriptados. Para Contas de Armazenamento do Azure e Data Lake Storage (Gen1 ou Gen2), recomenda-se que a Microsoft faça a gestão das chaves de encriptação. No entanto, pode gerir as suas próprias chaves.
O HDInsight suporta vários tipos de encriptação em duas camadas diferentes:
Encriptação do Lado do Servidor (SSE) – a SSE é executada pelo serviço de armazenamento. No HDInsight, a SSE é utilizada para encriptar discos de SO e discos de dados. Está ativado por predefinição. A SSE é um serviço de encriptação de camada 1.
Encriptação no anfitrião com a chave gerida pela plataforma – semelhante à SSE, este tipo de encriptação é efetuado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está ativado por predefinição. A encriptação no anfitrião também é um serviço de encriptação de camada 1.
Encriptação inativa com a chave gerida pelo cliente – este tipo de encriptação pode ser utilizado em dados e discos temporários. Por predefinição, não está ativado e requer que o cliente forneça a sua própria chave através do cofre de chaves do Azure. A encriptação inativa é um serviço de encriptação de camada 2.
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente dados em encriptação inativa com a chave gerida pelo cliente para esses serviços.
Nota: se utilizar SQL do Azure Base de Dados para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL permanecem sempre encriptados. Para Contas de Armazenamento do Azure e Data Lake Storage (Gen1 ou Gen2), recomenda-se que a Microsoft faça a gestão das chaves de encriptação. No entanto, pode gerir as suas próprias chaves.
O HDInsight suporta vários tipos de encriptação em duas camadas diferentes:
Encriptação do Lado do Servidor (SSE) – a SSE é executada pelo serviço de armazenamento. No HDInsight, a SSE é utilizada para encriptar discos de SO e discos de dados. Está ativado por predefinição. A SSE é um serviço de encriptação de camada 1.
Encriptação no anfitrião com a chave gerida pela plataforma – semelhante à SSE, este tipo de encriptação é efetuado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está ativado por predefinição. A encriptação no anfitrião também é um serviço de encriptação de camada 1.
Encriptação inativa com a chave gerida pelo cliente – este tipo de encriptação pode ser utilizado em dados e discos temporários. Por predefinição, não está ativado e requer que o cliente forneça a sua própria chave através do cofre de chaves do Azure. A encriptação inativa é um serviço de encriptação de camada 2.
Referência: Encriptação dupla do Azure HDInsight para dados inativos
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: se utilizar SQL do Azure Base de Dados para armazenar metadados do Apache Hive e do Apache Oozie, certifique-se de que os dados SQL permanecem sempre encriptados. Para Contas de Armazenamento do Azure e Data Lake Storage (Gen1 ou Gen2), recomenda-se que a Microsoft faça a gestão das chaves de encriptação. No entanto, pode gerir as suas próprias chaves.
O HDInsight suporta vários tipos de encriptação em duas camadas diferentes:
Encriptação do Lado do Servidor (SSE) – a SSE é executada pelo serviço de armazenamento. No HDInsight, a SSE é utilizada para encriptar discos de SO e discos de dados. Está ativado por predefinição. A SSE é um serviço de encriptação de camada 1.
Encriptação no anfitrião com a chave gerida pela plataforma – semelhante à SSE, este tipo de encriptação é efetuado pelo serviço de armazenamento. No entanto, é apenas para discos temporários e não está ativado por predefinição. A encriptação no anfitrião também é um serviço de encriptação de camada 1.
Encriptação inativa com a chave gerida pelo cliente – este tipo de encriptação pode ser utilizado em dados e discos temporários. Por predefinição, não está ativado e requer que o cliente forneça a sua própria chave através do cofre de chaves do Azure. A encriptação inativa é um serviço de encriptação de camada 2.
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação de chaves (KEK) no cofre de chaves. Certifique-se de que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos seus HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Nota: se estiver a utilizar o Azure Key Vault com a implementação do Azure HDInsight, teste periodicamente o restauro de chaves geridas pelo cliente.
Referência: Encriptação dupla do Azure HDInsight para dados inativos
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação dupla do Azure HDInsight para dados inativos
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: utilize Azure Policy aliases no espaço de nomes "Microsoft.HDInsight" para criar políticas personalizadas. Configure as políticas para auditar ou impor a configuração de rede do cluster do HDInsight.
Se tiver uma subscrição rapid7, Qualys ou qualquer outra plataforma de gestão de vulnerabilidades, tem opções. Pode utilizar ações de script para instalar agentes de avaliação de vulnerabilidades nos nós de cluster do Azure HDInsight e gerir os nós através do respetivo portal.
Com o Azure HDInsight ESP, pode utilizar o Apache Ranger para criar e gerir políticas detalhadas de controlo de acesso e de obfuscação de dados. Pode fazê-lo para os seus dados armazenados em: Ficheiros/Pastas/Bases de Dados/Tabelas/Linhas/Colunas.
O administrador do Hadoop pode configurar o RBAC do Azure para proteger o Apache Hive, o HBase, o Kafka e o Spark através desses plug-ins no Apache Ranger.
Orientação de Configuração: utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura em todos os recursos do Azure.
Referência: Azure Policy definições incorporadas para o Azure HDInsight
AM-5: Utilizar apenas aplicações aprovadas na máquina virtual
Funcionalidades
Microsoft Defender para a Cloud – Controlos de Aplicações Adaptáveis
Descrição: o serviço pode limitar o que as aplicações de cliente executam na máquina virtual através dos Controlos de Aplicação Adaptáveis no Microsoft Defender para a Cloud. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: o Azure HDInsight não suporta o defender de forma nativa; no entanto, utiliza ClamAV. Além disso, ao utilizar o ESP para HDInsight, pode utilizar algumas das Microsoft Defender para a capacidade de deteção de ameaças incorporada na Cloud. Também pode ativar Microsoft Defender para as VMs associadas ao HDInsight.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender de Serviço/Oferta de Produtos
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: os registos de atividades estão disponíveis automaticamente. Os registos contêm todas as operações PUT, POST e DELETE, mas não GET, para os seus recursos do HDInsight, exceto operações de leitura (GET). Pode utilizar os registos de atividades para encontrar erros durante a resolução de problemas ou para monitorizar a forma como os utilizadores na sua organização modificaram os recursos.
Ative os registos de recursos do Azure para o HDInsight. Pode utilizar Microsoft Defender para a Cloud e Azure Policy para ativar a recolha de dados de registos e registos de recursos. Estes registos podem ser fundamentais para investigar incidentes de segurança e realizar exercícios forenses.
O HDInsight também produz registos de auditoria de segurança para as contas de administração local. Ative estes registos de auditoria de administrador local.
Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou SQL do Azure têm registos de recursos que monitorizam pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Referência: Gerir registos de um cluster do HDInsight
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de posturas e vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
State Configuration da Automatização do Azure
Descrição: Automatização do Azure State Configuration pode ser utilizada para manter a configuração de segurança do sistema operativo. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: as Imagens do Sistema Operativo do Azure HDInsight são geridas e mantidas pela Microsoft. No entanto, o cliente é responsável pela implementação da configuração de estado ao nível do SO para essa imagem. Os modelos de VM da Microsoft combinados com Automatização do Azure State Configuration podem ajudar a cumprir e manter os requisitos de segurança.
Orientação de Configuração: utilize Automatização do Azure State Configuration para manter a configuração de segurança do sistema operativo.
Referência: Automatização do Azure State Configuration descrição geral
Agente de Configuração de Convidado do Azure Policy
Descrição: Azure Policy agente de configuração de convidado pode ser instalado ou implementado como uma extensão para recursos de computação. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Compreender a funcionalidade de configuração do computador do Azure Automanage
Imagens de VM Personalizadas
Descrição: o serviço suporta a utilização de imagens de VM fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Imagens de Contentores Personalizados
Descrição: o serviço suporta a utilização de imagens de contentor fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PV-5: Realizar avaliações de vulnerabilidades
Funcionalidades
Avaliação de Vulnerabilidades com Microsoft Defender
Descrição: o serviço pode ser analisado para análise de vulnerabilidades com Microsoft Defender para a Cloud ou outra capacidade de avaliação de vulnerabilidade incorporada de serviços Microsoft Defender (incluindo Microsoft Defender para servidor, registo de contentor Serviço de Aplicações, SQL e DNS). Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: o Azure HDInsight não suporta Microsoft Defender para avaliação de vulnerabilidades nativamente, utiliza ClamAV para proteção contra software maligno. No entanto, ao utilizar o ESP para HDInsight, pode utilizar alguns dos Microsoft Defender para a capacidade de deteção de ameaças incorporada na Cloud. Também pode ativar Microsoft Defender para as VMs associadas ao HDInsight.
Reencaminhar quaisquer registos do HDInsight para o SIEM, que podem ser utilizados para configurar deteções de ameaças personalizadas. Confirme que está a monitorizar diferentes tipos de recursos do Azure para potenciais ameaças e anomalias. Concentre-se na obtenção de alertas de alta qualidade para reduzir os falsos positivos para os analistas ordenarem. Os alertas podem ser obtidos a partir de dados de registo, agentes ou outros dados.
Orientação de Configuração: siga as recomendações do Microsoft Defender para a Cloud para realizar avaliações de vulnerabilidades nas máquinas virtuais do Azure, imagens de contentor e servidores SQL.
Nota: o Azure HDInsight não suporta o Defender nativamente, utiliza o ClamAV. No entanto, ao utilizar o ESP para HDInsight, pode utilizar alguns dos Microsoft Defender para a capacidade de deteção de ameaças incorporada na Cloud. Também pode ativar Microsoft Defender para as VMs associadas ao HDInsight.
Reencaminhar quaisquer registos do HDInsight para o SIEM, que podem ser utilizados para configurar deteções de ameaças personalizadas. Confirme que está a monitorizar diferentes tipos de recursos do Azure para potenciais ameaças e anomalias. Concentre-se na obtenção de alertas de alta qualidade para reduzir os falsos positivos para os analistas ordenarem. Os alertas podem ser obtidos a partir de dados de registo, agentes ou outros dados.
PV-6: remediar vulnerabilidades de forma rápida e automática
Funcionalidades
Gestão de Atualizações da Automatização do Azure
Descrição: o serviço pode utilizar Automatização do Azure Gestão de Atualizações para implementar correções e atualizações automaticamente. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Partilhado |
Notas de funcionalidades: as imagens do Ubuntu ficam disponíveis para a criação de novos clusters do Azure HDInsight no prazo de três meses após a publicação. Os clusters em execução não são executados automaticamente. Os clientes têm de utilizar ações de script ou outros mecanismos para corrigir um cluster em execução. Como melhor prática, pode executar estas ações de script e aplicar atualizações de segurança logo após a criação do cluster.
Orientação de Configuração: utilize a Gestão de Atualizações do Automatização do Azure ou uma solução de terceiros para garantir que as atualizações de segurança mais recentes estão instaladas nas VMs do Windows e do Linux. Para VMs do Windows, certifique-se de Windows Update foi ativado e definido para atualizar automaticamente.
Nota: as imagens do Ubuntu ficam disponíveis para a criação do novo cluster do Azure HDInsight no prazo de três meses após a publicação. Os clusters em execução não são executados automaticamente. Os clientes têm de utilizar ações de script ou outros mecanismos para corrigir um cluster em execução. Como melhor prática, pode executar estas ações de script e aplicar atualizações de segurança logo após a criação do cluster.
Referência: Descrição geral da Gestão de Atualizações
Endpoint security (Segurança de pontos finais)
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de pontos finais.
ES-1: Utilizar a Deteção e Resposta de Pontos Finais (EDR)
Funcionalidades
Solução EDR
Descrição: a funcionalidade de Deteção e Resposta de Pontos Finais (EDR), como o Azure Defender para servidores, pode ser implementada no ponto final. Saiba mais.
Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: o Azure HDInsight não suporta Microsoft Defender para Endpoint nativamente, utiliza o ClamAV para proteção contra software maligno.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Posso desativar Clamscan
no meu cluster?
ES-2: Utilizar software antimalware moderno
Funcionalidades
Solução Antimalware
Descrição: a funcionalidade antimalware, como Microsoft Defender Antivírus, Microsoft Defender para Endpoint pode ser implementada no ponto final. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: o Azure HDInsight utiliza ClamAV. Reencaminhar os registos ClamAV para um SIEM centralizado ou outro sistema de deteção e alerta.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Segurança e Certificados
ES-3: Garantir que o software antimalware e as assinaturas são atualizados
Funcionalidades
Monitorização do Estado de Funcionamento da Solução Antimalware
Descrição: a solução antimalware fornece monitorização do estado de funcionamento para atualizações automáticas de plataformas, motores e assinaturas. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: o Azure HDInsight inclui o Clamscan pré-instalado e ativado para as imagens do nó de cluster. O Clamscan executará atualizações de motor e definição automaticamente e atualizará as respetivas assinaturas antimalware com base na base de dados oficial de assinatura de vírus da ClamAV.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Segurança e Certificados
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
---|---|---|
Verdadeiro | Falso | Cliente |
Notas de funcionalidades: a Exportação do HBase e a Replicação do HBase são formas comuns de ativar a continuidade do negócio entre clusters do HBase do HDInsight.
A Exportação do HBase é um processo de replicação em lote que utiliza o Utilitário de Exportação do HBase para exportar tabelas do cluster HBase primário para o respetivo armazenamento subjacente Azure Data Lake Storage Gen2. Em seguida, os dados exportados podem ser acedidos a partir do cluster secundário do HBase e importados para tabelas que têm de ser pré-existentes na secundária. Embora a Exportação do HBase ofereça granularidade ao nível da tabela, em situações de atualização incremental, o motor de automatização de exportação controla o intervalo de linhas incrementais a incluir em cada execução.
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Configurar a cópia de segurança e a replicação para o Apache HBase e o Apache Phoenix no HDInsight
Passos seguintes
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure