Base de référence de la sécurité Azure pour le réseau de distribution de contenu (CDN)

Cette base de référence de sécurité applique des conseils du benchmark de sécurité Azure version 3.0 au réseau de distribution de contenu. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables au réseau de distribution de contenu.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les fonctionnalités non applicables au réseau de distribution de contenu ont été exclues. Pour voir la correspondance complète entre Content Delivery Network et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Content Delivery Network.

Profil de sécurité

Le profil de sécurité résume les comportements à fort impact du réseau de distribution de contenu, ce qui peut entraîner une augmentation des considérations de sécurité.

Attribut de comportement du service Valeur
Catégorie de produit Mise en réseau
Le client peut accéder à HOST/OS Aucun accès
Le service peut être déployé dans le réseau virtuel du client False
Stocke le contenu client au repos True

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité Azure : Gestion des identités.

IM-1 : utiliser le système centralisé d’identité et d’authentification

Fonctionnalités

Azure AD Authentication requis pour l’accès au plan de données

Description : le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations

Prise en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

IM-7 : restreindre l’accès aux ressources en fonction des conditions

Fonctionnalités

Accès conditionnel pour le plan de données

Description : L’accès au plan de données peut être contrôlé à l’aide de stratégies d’accès conditionnel Azure AD. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

IM-8 : restreindre l’exposition des informations d’identification et des secrets

Fonctionnalités

Les informations d’identification du service et les secrets prennent en charge l’intégration et le stockage dans Azure Key Vault

Description : le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Accès privilégié

Pour plus d’informations, consultez le benchmark de sécurité Azure : Accès privilégié.

PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)

Fonctionnalités

Azure RBAC pour le plan de données

Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer l’accès aux ressources Azure via des attributions de rôles intégrées. Les rôles RBAC Azure peuvent être attribués aux utilisateurs, groupes, principaux de service et identités managées.

Référence : Rôles RBAC Azure - CDN

Protection de données

Pour plus d'informations, consultez Benchmark de sécurité Azure : Protection des données.

DP-3 : chiffrer les données sensibles en transit

Fonctionnalités

Chiffrement des données en transit

Description : le service prend en charge le chiffrement en transit des données pour le plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Partagé

Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement native des données en transit intégrée. Appliquez HTTPS sur toutes les applications et services web et vérifiez que TLS v1.2 ou version ultérieure est utilisé. Les versions héritées telles que SSL 3.0, TLS v1.0 doivent être désactivées.

Référence : Configurer HTTPS sur un CDN Azure

DP-4 : activer le chiffrement des données au repos par défaut

Fonctionnalités

Chiffrement des données au repos à l’aide de clés de plateforme

Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True True Microsoft

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

DP-6 : Utiliser un processus sécurisé de gestion de clés

Fonctionnalités

Gestion des clés dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés client, secrets ou certificats. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-7 : utiliser un processus de gestion des certificats sécurisé

Fonctionnalités

Gestion des certificats dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : Créez des domaines personnalisés dans lesquels les certificats TLS pour les domaines peuvent être chargés à partir d’Azure Key Vault.

Référence : CDN Custom SSL

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité Azure : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : Utilisez Microsoft Defender pour Cloud pour configurer Azure Policy pour auditer et appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources. Utilisez Azure Policy [refuser] et [déployer s’il n’existe pas] effets pour appliquer une configuration sécurisée sur les ressources Azure.

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : activer les fonctionnalités de détection des menaces

Fonctionnalités

Microsoft Defender pour service / offre de produits

Description : Le service dispose d’une solution Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

LT-4 : Activer la journalisation pour l’investigation de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : Le service produit des journaux de ressources qui peuvent fournir des métriques et des journaux de journalisation spécifiques au service améliorés. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : activez les journaux des ressources pour Azure CDN pour capturer la surveillance, les métriques et les journaux d’accès en temps réel pour le service.

Référence : Réseau de distribution de contenu du journal de diagnostic Azure

Sauvegarde et récupération

Pour plus d’informations, consultez le benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Fonctionnalités

Sauvegarde Azure

Description : Le service peut être sauvegardé par le service Sauvegarde Azure. Plus d’informations

Prise en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Étapes suivantes