Standardní hodnoty zabezpečení Azure pro Azure Media Services

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Media Services. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Media Services.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Azure Media Services, a ty, pro které se doporučují globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak azure Media Services kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Media Services.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Azure Media Services nepodporuje nasazení přímo do virtuální sítě. U prostředků nabídky nemůžete použít určité síťové funkce, například:

  • Skupiny zabezpečení sítě (NSG)
  • Směrovací tabulky
  • Jiná zařízení závislá na síti, jako je například Azure Firewall

Služba Media Services podporuje doručování klíčů DRM (Digital Rights Management) pro následující protokoly:

  • FairPlay
  • Widevine
  • PlayReady

Mezi podporované protokoly patří:

  • TLS 1.1
  • TLS 1.2
  • TLS 1.3

Toto nastavení není možné konfigurovat uživatelem.

Ke správě seznamů řízení přístupu k síti podporuje Služba Media Services další funkce zabezpečení sítě. Povolit komunikaci pouze s důvěryhodnými zdroji. Omezte přístup z konkrétních rozsahů veřejných IP adres konfigurací následujících služeb:

  • Koncové body streamování media services
  • Živé události
  • Doručování klíčů

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Použití Azure Private Link k povolení privátního přístupu ke službě Azure Media Services v3 Privátní přístup můžete povolit z vašich virtuálních sítí bez přechodu na internet.

Soukromý přístup je dalším hloubkovým měřítkem ochrany. Tato míra doplňuje ověřování a zabezpečení provozu, které nabízí služby Azure.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Azure Media Services nezpřístupňuje základní konfigurace DNS. Tato nastavení spravuje Microsoft.

Odpovědnost: Microsoft

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Media Services používá jako výchozí službu pro správu identit a přístupu službu Azure Active Directory (Azure AD). Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu vaší organizace.

Zabezpečení služby Azure AD by mělo mít vysokou prioritu v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením Microsoftu pro osvědčené postupy. Pomocí skóre můžete posoudit, jak přesně konfigurace odpovídá doporučením osvědčených postupů. Použijte ho také k vylepšení stavu zabezpečení.

Poznámka: Azure AD podporuje externí identitu. Díky této funkci se uživatelé bez účtu Microsoft můžou přihlásit ke svým aplikacím a prostředkům pomocí své externí identity.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Ve službě Azure Media Services můžete pomocí identit spravovaných v Azure povolit ověřování nativně ze služby pro scénáře automatizace. Pokud chcete získat přístup k prostředkům nebo je spouštět, místo vytvoření výkonnějšího lidského účtu použijte funkci identity spravovanou v Azure. Azure Media Services se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Prochází předdefinovaným pravidlem udělení přístupu bez použití přihlašovacích údajů, které jsou pevně zakódované ve zdrojovém kódu nebo konfiguračních souborech.

Tři scénáře umožňují používat spravované identity se službou Media Services:

  • Udělení přístupu k účtu Media Services Key Vault, které umožňuje klíče spravované zákazníkem

  • Udělení přístupu účtu Media Services k účtům úložiště, které službě Media Services umožňuje obejít seznamy ACL sítě služby Azure Storage

  • Povolení přístupu k Media Services jiným službám (například virtuálním počítačům nebo Azure Functions)

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Zákazníci s Azure Media Services můžou své prostředky nasadit prostřednictvím šablon Azure Resource Manager (ARM). Tyto prostředky můžou obsahovat identity nebo tajné kódy. Implementujte skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu nebo konfiguracích, které souvisejí s vašimi prostředky. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete použít nativní funkci kontroly tajných kódů. Tato funkce identifikuje přihlašovací údaje nebo jinou formu tajných kódů v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Azure Media Services nepodporuje customer lockbox. Pokud chcete získat schválení pro přístup k zákaznickým datům, může Microsoft spolupracovat se zákazníky prostřednictvím jiných metod než lockboxu.

Odpovědnost: Sdílené

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Azure Media Services může ukládat citlivá data. Nemá ale nativní možnosti ke zjišťování, klasifikaci a označování citlivých dat. Organizace musí navázat procesy pro sledování a ochranu těchto citlivých dat, která služba Azure Media Services používá.

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Ochrana přístupu k citlivým datům uloženým ve službě Azure Media Services omezením přístupu pomocí:

  • Azure RBAC
  • Řízení přístupu na základě sítě
  • Konkrétní ovládací prvky ve službách Azure (například šifrování pro Azure Storage)

Pokud chcete zajistit konzistentní řízení přístupu, zarovnejte všechny typy řízení přístupu ke strategii segmentace podniku. Informujte strategii segmentace podniku s umístěním citlivých nebo důležitých obchodních dat a systémů.

U základní platformy, která je spravovaná Microsoftem, microsoft považuje veškerý obsah zákazníka za citlivý. Chrání před ztrátou a expozicí zákaznických dat. Aby se zajistilo, že zákaznická data v Rámci Azure zůstanou zabezpečená, Microsoft implementuje některé výchozí ovládací prvky a možnosti ochrany dat.

Odpovědnost: Zákazník

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Azure Media Services přenáší citlivá data. Nepodporuje ale nativní monitorování neoprávněného přenosu citlivých dat. Organizace můžou nakonfigurovat události, které se mají protokolovat do služby Azure Monitor. Organizace můžou také nastavit vlastní toky automatizace aplikací logiky, které se aktivují při jakékoli neobvyklé aktivitě.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, chraňte přenášená data před útoky "mimo pásmo" (například zachytávání provozu) pomocí šifrování. Tato akce zajišťuje, aby útočníci nemohli snadno číst ani upravovat data.

Azure Media Services podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo novějšího. I když je toto šifrování volitelné pro provoz v privátních sítích, je důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že všechny klienty, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. Zakázat:

  • Zastaralé verze SSL, TLS a SSH
  • Zastaralé protokoly
  • Slabé šifry

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

S Media Services můžete živě a na vyžádání doručovat obsah šifrovaný dynamicky pomocí standardu Advanced Encryption Standard (AES-128). Nebo můžete použít kterýkoli ze tří hlavních systémů pro správu digitálních práv (DRM):

  • Microsoft PlayReady
  • Google Widevine
  • Apple FairPlay

Další informace najdete v následujících článcích:

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Azure Media Services ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat můžete implementovat šifrování pomocí vlastního klíče spravovaného zákazníkem. Azure spravuje šifrovací klíče ve výchozím nastavení, ale Azure nabízí možnosti pro správu vlastních klíčů (klíče spravované zákazníkem).

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-2: Ujistěte se, že má bezpečnostní tým přístup k inventáři prostředků a metadatům.

Pokyny: Pokud chcete logicky uspořádat taxonomii, použijte značky na azure Media Services:

  • Zdroje informací
  • Skupiny prostředků
  • Předplatná

Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: S Azure Policy auditujte a omezte, které služby můžou uživatelé ve vašem prostředí zřídit. Tento nástroj může také v případě potřeby omezit prostředky Azure Media Services. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí služby Azure Monitor vytvořte pravidla, která aktivují výstrahy při zjištění neschválené služby.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Azure Media Services nemůže monitorovat bezpečnostní hrozby, které souvisejí s prostředky. Organizace ale můžou povolit automatizované toky na základě svých potřeb. V případě potřeby použijte nakonfigurované protokoly Azure Monitoru pro Media Services s využitím aplikací logiky.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Azure Media Services poskytuje monitorování odchozího provozu sítě, což ukazuje šířku pásma opouštějící koncové body streamování. Pokud jste povolili doručování prostřednictvím sítě pro doručování obsahu (CDN), projděte si možnosti poskytovatele CDN. Služba Media Services nevygeneruje ani nezpracovává protokoly dotazů DNS, které by bylo potřeba povolit. Služba Media Services protokoluje všechny žádosti o licence do služby doručování klíčů. Protokoluje selhání synchronizace klíčů spravovaných zákazníkem při jejich výskytu mezi synchronizacemi Key Vault.

Povolte protokoly prostředků Azure pro Media Services. Pokud chcete povolit shromažďování dat prostředků a protokolů, můžete použít Microsoft Defender pro cloud a Azure Policy. Tyto protokoly můžou být důležité, když prošetříte incidenty zabezpečení a později provedete forenzní cvičení.

Protokoly aktivit obsahují všechny operace zápisu (PUT, POST a DELETE) pro prostředky Azure Media Services. Protokoly aktivit jsou automaticky dostupné, ale neobsahují operace čtení (GET). Protokoly aktivit můžete použít k vyhledání chyby při řešení potíží. Nebo pomocí protokolů můžete monitorovat, jak uživatel ve vaší organizaci upravil prostředek.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolu přiřaďte:

  • Vlastník dat
  • Pokyny k přístupu
  • Umístění úložiště
  • Jaké nástroje se používají ke zpracování a přístupu k datům
  • Požadavky na uchovávání dat

Ujistěte se, že integrujete do centrálního protokolování protokolů aktivit Azure, které souvisejí se službou Azure Media Services. Ingestování protokolů prostřednictvím služby Azure Monitor k agregaci:

  • Data zabezpečení generovaná zařízeními koncových bodů
  • Síťové prostředky
  • Jiné systémy zabezpečení

Ve službě Azure Monitor můžete k dotazování a analýze použít pracovní prostory Log Analytics. Účty Azure Storage používejte pro dlouhodobé a archivní úložiště. Také povolte a připojte data do Microsoft Sentinelu nebo siEM jiného výrobce.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často. Tyto organizace vyberou Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Pro protokoly související se službou Azure Media Services nakonfigurujte uchovávání protokolů podle vašich požadavků pro:

  • Dodržování předpisů
  • Nařízení
  • Do zaměstnání

Ve službě Azure Monitor můžete nastavit dobu uchovávání pro váš pracovní prostor Služby Log Analytics podle předpisů vaší organizace. Pro dlouhodobé a archivní úložiště použijte jeden z těchto účtů:

  • Azure Storage
  • Data Lake
  • Pracovní prostor služby Log Analytics

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure Media Services nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba Media Services spoléhá na zdroje synchronizace času Microsoftu. Není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Pokud chcete auditovat a vynucovat konfigurace prostředků Azure, azure Media Services podporuje dostupné zásady specifické pro služby v programu Microsoft Defender for Cloud. Tyto zásady můžete nakonfigurovat v programu Microsoft Defender for Cloud nebo Azure Policy iniciativ.

V jedné definici Azure Blueprints můžete automatizovat nasazení a konfiguraci služeb a aplikačních prostředí, včetně těchto:

  • Šablony Azure Resources Manageru
  • Ovládací prvky Azure RBAC
  • Zásady

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pokud chcete vynutit a monitorovat konfigurace prostředků, azure Media Services podporuje nastavení Azure Policy. Pomocí Microsoft Defenderu pro cloud monitorujte standardní hodnoty konfigurace. Pomocí definic zásad Deny a DeployIfNotExists v Azure Policy vynucujte zabezpečenou konfiguraci napříč výpočetními prostředky Azure, mezi které patří:

  • Virtuální počítače
  • Kontejnery
  • Další prostředky

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

PV-6: Posouzení ohrožení zabezpečení softwaru

Pokyny: Společnost Microsoft se zaměřuje na správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Media Services.

Odpovědnost: Microsoft

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Azure Media Services k ochraně před malwarem nepotřebuje žádné změny konfigurace, další nastavení ani nasazení dalších služeb.

Azure Media Services používá antimalware u všech základních výpočetních prostředků služby. Použije automatickou instalaci nejnovějších podpisů aktualizacemi modulu Microsoft Antimalware.

Odpovědnost: Microsoft

ES-3: Ujistěte se, že jsou aktualizovány antimalwarové software a podpisy.

Pokyny: Azure Media Services k ochraně před malwarem nepotřebuje žádné změny konfigurace, další nastavení ani nasazení dalších služeb.

Azure Media Services používá antimalware u všech základních výpočetních prostředků služby. Použije automatickou instalaci nejnovějších podpisů aktualizacemi modulu Microsoft Antimalware.

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Azure Media Services v současné době nepodporuje integrace s Azure Backup. Můžete ale nasadit mnoho účtů, které budou sloužit jako primární nebo záložní účet.

Odpovědnost: Zákazník

BR-2: Šifrování zálohovaných dat

Pokyny: Máte nějaké účty Azure Media Services, které se používají jako primarie nebo zálohy? Pak můžete povolit šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelně se ujistěte, že můžete obnovit klíče spravované zákazníkem, které se zálohují. Tyto klíče můžete použít k šifrování neaktivních uložených dat služby Azure Media Service.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Máte zavedená opatření, která brání ztrátě šifrovacích klíčů, které azure Media Services používá, a obnovují je. Povolení obnovitelného odstranění a ochrany před vymazáním v Azure Key Vault Pokud chcete chránit klíče před náhodným nebo škodlivým odstraněním, Azure Key Vault vaše šifrovací klíče.

Odpovědnost: Zákazník

Další kroky