Garis besar keamanan Azure untuk Azure Media Services

Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 2.0 ke Azure Media Services. Azure Security Benchmark memberikan rekomendasi tentang cara Anda mengamankan solusi cloud Anda di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Azure Security Benchmark serta panduan terkait yang berlaku untuk Media Services.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini, untuk membantu Anda mengukur kepatuhan terhadap kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Pertahanan Microsoft berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Kontrol yang tidak berlaku untuk Azure Media Services, dan kontrol dengan panduan global yang direkomendasikan secara verbatim, telah dikecualikan. Untuk melihat bagaimana Azure Media Services memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Azure Media Services secara lengkap.

Keamanan Jaringan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Jaringan.

NS-1: Menerapkan keamanan untuk lalu lintas internal

Panduan: Azure Media Services tidak mendukung penyebaran langsung ke jaringan virtual. Anda tidak dapat menerapkan fitur jaringan tertentu dengan sumber daya penawaran, seperti:

  • Network security groups (NSG)
  • Tabel rute
  • Appliance yang bergantung pada jaringan lainnya, seperti Azure Firewall

Media Services mendukung pengiriman kunci Manajemen Hak Digital (DRM) untuk protokol berikut:

  • FairPlay
  • Widevine
  • PlayReady

Protokol yang didukung meliputi:

  • TLS 1.1
  • TLS 1.2
  • TLS 1.3

Pengaturan ini tidak dapat dikonfigurasi pengguna.

Untuk mengelola daftar kontrol akses jaringan, Media Services mendukung fungsionalitas keamanan jaringan tambahan. Hanya izinkan komunikasi dengan sumber tepercaya. Batasi akses dari rentang alamat IP publik tertentu dengan mengonfigurasi layanan berikut:

  • Titik Akhir Streaming Media Services
  • Acara Langsung
  • Pengiriman Kunci

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Pelanggan

NS-3: Membangun akses jaringan privat ke layanan Azure

Panduan: Menggunakan Azure Private Link untuk mengaktifkan akses privat ke Azure Media Services v3. Anda dapat mengaktifkan akses privat dari jaringan virtual Anda tanpa melintasi internet.

Akses privat adalah tindakan pertahanan mendalam lainnya. Langkah ini melengkapi keamanan autentikasi dan lalu lintas yang ditawarkan layanan Azure.

Tanggung Jawab: Pelanggan

NS-7: Layanan Nama Domain (DNS) yang Aman

Panduan: Azure Media Services tidak mengekspos konfigurasi DNS yang mendasarinya. Pengaturan ini dikelola oleh Microsoft.

Tanggung jawab: Microsoft

Manajemen Identitas

Untuk informasi lebih lanjut, lihat Azure Security Benchmark : Manajemen Identitas.

IM-1: Menstandarkan Microsoft Azure Active Directory sebagai pusat sistem identitas dan autentikasi

Panduan: Azure Media Services menggunakan Microsoft Azure Active Directory (Microsoft Azure AD) sebagai layanan manajemen identitas dan akses default. Melakukan standardisasi pada Microsoft Azure AD untuk mengatur manajemen identitas dan akses organisasi Anda.

Mengamankan Microsoft Azure Active Directory harus menjadi prioritas tinggi dalam praktik keamanan cloud organisasi Anda. Microsoft Azure AD menyediakan skor aman identitas untuk membantu menilai postur keamanan identitas, relatif terhadap rekomendasi praktik terbaik Microsoft. Gunakan skor tersebut untuk mengukur seberapa dekat kecocokan konfigurasi Anda dengan rekomendasi praktik terbaik. Selain itu, gunakan skor tersebut untuk membuat peningkatan dalam postur keamanan Anda.

Catatan: Microsoft Azure AD mendukung identitas eksternal. Dengan fitur ini, pengguna tanpa akun Microsoft dapat masuk ke aplikasi dan sumber daya mereka menggunakan identitas eksternal.

Tanggung Jawab: Pelanggan

IM-2: Mengelola identitas aplikasi dengan aman dan otomatis

Panduan: Dalam Azure Media Services, gunakan identitas yang dikelola Azure untuk mengaktifkan autentikasi secara native dari layanan untuk skenario otomatisasi. Untuk mengakses atau menjalankan sumber daya Anda, gunakan fitur identitas terkelola Azure sebagai ganti membuat akun manusia yang lebih kuat. Azure Media Services dapat mengautentikasi secara native ke layanan dan sumber daya Azure yang mendukung autentikasi Microsoft Azure AD. Ini melewati aturan pemberian akses yang telah ditentukan tanpa menggunakan info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Tiga skenario yang memungkinkan Anda menggunakan Identitas Terkelola dengan Media Services:

  • Memberikan akun Media Services akses ke Key Vault, yang mengaktifkan kunci terkelola pelanggan

  • Memberikan akun Media Services akses ke akun penyimpanan, yang mengizinkan Media Services melewati ACL Jaringan Azure Storage

  • Mengizinkan layanan lain (misalnya, VM atau Azure Functions) untuk mengakses Media Services

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Pelanggan

IM-7: Menghapus paparan informasi masuk yang tidak diinginkan

Panduan: Dengan Azure Media Services, pelanggan dapat menyebarkan sumber daya yang dimiliki melalui templat Azure Resource Manager (ARM). Sumber daya ini dapat berisi identitas atau rahasia. Terapkan Pemindai Info Masuk untuk mengidentifikasi info masuk dalam kode atau konfigurasi yang terkait dengan sumber daya Anda. Pemindai Info Masuk juga akan mendorong pemindahan informasi masuk yang ditemukan ke lokasi yang lebih aman seperti Azure Key Vault.

Untuk GitHub, Anda dapat menggunakan fitur pemindaian rahasia asli. Fitur ini mengidentifikasi kredensial atau bentuk rahasia lain di dalam kode.

Tanggung Jawab: Pelanggan

Akses dengan Hak Istimewa

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Akses dengan Hak Istimewa.

PA-8: Memilih proses persetujuan untuk dukungan Microsoft

Panduan: Azure Media Services tidak mendukung kotak kunci pelanggan. Untuk mendapatkan persetujuan guna mengakses data pelanggan, Microsoft dapat bekerja sama dengan pelanggan melalui metode non-lockbox.

Tanggung Jawab: Dibagikan

Perlindungan Data

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan Data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Panduan: Azure Media Services dapat menyimpan data sensitif. Tetapi Azure Media Services tidak memiliki kemampuan asli untuk menemukan, mengklasifikasikan, dan memberi label data sensitif. Organisasi harus membangun proses untuk melacak dan melindungi data sensitif yang digunakan Azure Media Services.

Tanggung Jawab: Pelanggan

DP-2: Melindungi data sensitif

Panduan: Melindungi akses ke data sensitif yang disimpan Azure Media Services dengan membatasi akses, menggunakan:

  • RBAC Azure
  • Kontrol akses berbasis jaringan
  • Kontrol khusus di layanan Azure (seperti enkripsi untuk Azure Storage)

Untuk memastikan kontrol akses yang konsisten, selaraskan semua jenis kontrol akses dengan strategi segmentasi perusahaan Anda. Informasikan strategi segmentasi perusahaan dengan lokasi data dan sistem penting bisnis atau sensitif.

Untuk platform yang mendasarinya, yang dikelola oleh Microsoft, Microsoft memperlakukan semua konten pelanggan sebagai sensitif. Hal ini melindungi terhadap kehilangan dan eksposur data pelanggan. Untuk memastikan data pelanggan di dalam Azure tetap aman, Microsoft menerapkan beberapa kontrol dan kemampuan perlindungan data default.

Tanggung Jawab: Pelanggan

DP-3: Memantau transfer data sensitif yang tidak sah

Panduan: Azure Media Services memancarkan data sensitif. Tetapi Azure Media Services tidak mendukung pemantauan asli dari transfer data sensitif yang tidak sah. Organisasi dapat mengonfigurasi peristiwa yang akan dicatat ke Azure Monitor. Organisasi juga dapat menyiapkan alur otomatisasi Aplikasi Logika kustom untuk dipicu di aktivitas anomali apa pun.

Tanggung Jawab: Pelanggan

DP-4: Mengenkripsi informasi sensitif saat transit

Panduan: Untuk melengkapi kontrol akses, lindungi data dalam perjalanan terhadap serangan 'out of band' (misalnya, pengambilan lalu lintas) menggunakan enkripsi. Tindakan ini memastikan penyerang tidak dapat dengan mudah membaca atau memodifikasi data.

Azure Media Services mendukung enkripsi data dalam perjalanan dengan TLS v1.2 atau yang lebih tinggi. Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, enkripsi ini sangat penting untuk lalu lintas di jaringan eksternal dan publik. Untuk lalu lintas HTTP, pastikan bahwa setiap klien yang terhubung ke sumber daya Azure Anda dapat menegosiasikan TLS v1.2 atau yang lebih tinggi. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi. Nonaktifkan:

  • Versi SSL, TLS, dan SSH usang
  • Protokol usang
  • Sandi lemah

Secara default, Microsoft Azure menyediakan enkripsi untuk data saat transit di antara pusat data Microsoft Azure.

Dengan Media Services, Anda dapat mengirimkan konten langsung dan sesuai permintaan yang dienkripsi secara dinamis dengan Standar Enkripsi Lanjutan (AES-128). Atau Anda dapat menggunakan salah satu dari tiga sistem manajemen hak digital (DRM) utama:

  • Microsoft PlayReady
  • Google Widevine
  • Apple FairPlay

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Bersama

DP-5: Mengenkripsi data sensitif yang tidak aktif

Panduan: Azure Media Services menyediakan enkripsi untuk data tidak aktif secara default. Untuk data yang sangat sensitif, Anda dapat menerapkan enkripsi dengan kunci yang dikelola pelanggan milik Anda sendiri. Azure mengelola kunci enkripsi Anda secara default, tetapi Azure menyediakan opsi untuk mengelola kunci Anda sendiri (kunci yang dikelola pelanggan).

Tanggung Jawab: Bersama

Manajemen Aset

Untuk mengetahui informasi selengkapnya, lihat Azure Security Benchmark: Manajemen Aset.

AM-2: Memastikan tim keamanan memiliki akses ke inventaris dan metadata aset

Panduan: Untuk mengatur secara logis ke dalam taksonomi, terapkan tag ke Azure Media Services Anda:

  • Sumber
  • Grup sumber daya
  • Langganan

Setiap tag terdiri dari nama dan pasangan nilai. Misalnya, Anda dapat menerapkan nama "Lingkungan" dan nilai "Produksi" ke semua sumber daya dalam produksi.

Tanggung Jawab: Pelanggan

AM-3: Hanya gunakan layanan Azure yang disetujui

Panduan: Menggunakan Azure Policy untuk mengaudit dan membatasi layanan yang dapat diprovisikan pengguna di lingkungan Anda. Alat ini juga dapat membatasi sumber daya Azure Media Services jika diperlukan. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan pengguna. Dengan Azure Monitor, buat aturan yang memicu peringatan saat layanan yang tidak disetujui terdeteksi.

Tanggung Jawab: Pelanggan

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencatatan dan Deteksi Ancaman.

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

Panduan: Azure Media Services tidak dapat memantau ancaman keamanan yang terkait dengan sumber daya yang dimiliki. Tetapi organisasi dapat mengaktifkan aliran otomatis berdasarkan kebutuhan mereka. Terapkan log Azure Monitor yang dikonfigurasi untuk Media Services menggunakan aplikasi logika jika diperlukan.

Tanggung Jawab: Pelanggan

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

Panduan: Azure Media Services menyediakan pemantauan lalu lintas egress jaringan, yang menunjukkan bandwidth yang meninggalkan Titik Akhir Streaming. Jika Anda mengaktifkan pengiriman melalui jaringan pengiriman konten (CDN), lihat kemampuan penyedia CDN. Media Services tidak menghasilkan atau memproses log kueri DNS yang perlu diaktifkan. Media Services mencatat semua permintaan lisensi ke layanan Pengiriman Kunci. Ini mencatat kegagalan sinkronisasi kunci yang dikelola pelanggan saat terjadi di antara sinkronisasi Key Vault.

Aktifkan log sumber daya Azure untuk Media Services. Untuk mengaktifkan log sumber daya dan pengumpulan data log, Anda dapat menggunakan Microsoft Defender untuk Cloud dan Azure Policy. Log ini mungkin penting ketika Anda menyelidiki insiden keamanan dan melakukan latihan forensik nanti.

Log aktivitas berisi semua operasi tulis (PUT, POST, dan DELETE) untuk sumber daya Azure Media Services Anda. Log aktivitas tersedia secara otomatis, tetapi tidak berisi operasi baca (GET). Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah. Atau gunakan log untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.

Tanggung Jawab: Pelanggan

LT-5: Memusatkan manajemen dan analisis log keamanan

Panduan: Memusatkan penyimpanan pengelogan, dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, tetapkan:

  • Pemilik data
  • Panduan akses
  • Lokasi penyimpanan
  • Alat apa yang digunakan untuk memproses dan mengakses data
  • Persyaratan retensi data

Pastikan Anda mengintegrasikan ke pusat pengelogan log aktivitas Azure yang terkait dengan Azure Media Services. Serap log melalui Azure Monitor untuk mengagregasi:

  • Data keamanan yang dihasilkan oleh perangkat titik akhir
  • Sumber daya jaringan
  • Sistem keamanan lainnya

Di Azure Monitor, gunakan ruang kerja Analitik Log untuk membuat kueri dan melakukan analitik. Gunakan akun Azure Storage untuk penyimpanan arsip dan jangka panjang. Selain itu, aktifkan dan onboard data ke Microsoft Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Microsoft Sentinel untuk data "panas" yang sering digunakan. Organisasi-organisasi tersebut memilih Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Tanggung Jawab: Pelanggan

LT-6: Mengonfigurasi retensi penyimpanan log

Panduan: Untuk log yang terkait dengan Azure Media Services, konfigurasikan retensi log Anda sesuai dengan persyaratan Anda untuk:

  • Kepatuhan
  • Peraturan
  • Bisnis

Di Azure Monitor, Anda dapat mengatur periode retensi untuk ruang kerja Log Analytics sesuai dengan peraturan kepatuhan organisasi Anda. Untuk penyimpanan jangka panjang dan arsip, gunakan salah satu akun berikut:

  • Azure Storage
  • Data Lake
  • Ruang kerja Analitik Log

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Pelanggan

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

Panduan: Azure Media Services tidak mendukung konfigurasi sumber sinkronisasi waktu Anda sendiri. Media Services bergantung pada sumber sinkronisasi waktu Microsoft. Hal ini tidak diekspos kepada pelanggan untuk konfigurasi.

Tanggung jawab: Microsoft

Manajemen Postur dan Kerentanan

Untuk mengetahui informasi selengkapnya, lihat Tolok Ukur Keamanan Azure: Manajemen Postur dan Kerentanan.

PV-1: Membuat konfigurasi aman untuk layanan Azure

Panduan: Untuk mengaudit dan memberlakukan konfigurasi sumber daya Azure Anda, Azure Media Services mendukung kebijakan khusus layanan yang tersedia di Microsoft Defender untuk Cloud. Anda dapat mengonfigurasi kebijakan ini dalam inisiatif Microsoft Defender untuk Cloud atau Azure Policy.

Dalam satu definisi Azure Blueprints, Anda dapat mengotomatiskan penyebaran dan konfigurasi layanan dan lingkungan aplikasi, termasuk:

  • Templat Azure Resource Manager
  • Kontrol Azure RBAC
  • Kebijakan

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Pelanggan

PV-2: Membuat konfigurasi aman secara berkelanjutan untuk layanan Azure

Panduan: Untuk memberlakukan dan memantau konfigurasi sumber daya, Azure Media Services mendukung pengaturan Azure Policy. Dengan Microsoft Defender untuk Cloud, pantau garis besar konfigurasi Anda. Menggunakan definisi kebijakan Deny dan DeployIfNotExists di Azure Policy, berlakukan konfigurasi aman di seluruh sumber daya komputasi Azure, termasuk:

  • VM
  • Kontainer
  • Sumber daya lainnya

Untuk mengetahui informasi selengkapnya, lihat artikel berikut ini:

Tanggung Jawab: Pelanggan

PV-6: Melakukan penilaian kerentanan perangkat lunak

Panduan: Microsoft melakukan manajemen kerentanan pada sistem mendasar yang mendukung Azure Media Services.

Tanggung Jawab: Microsoft

Keamanan titik akhir

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan Titik Akhir.

ES-2: Menggunakan perangkat lunak anti-malware modern yang dikelola secara terpusat

Panduan: Azure Media Services tidak memerlukan perubahan konfigurasi yang menghadap pelanggan, pengaturan tambahan, atau penyebaran layanan tambahan apa pun untuk melindunginya dari malware.

Azure Media Services menggunakan antimalware pada semua sumber daya komputasi layanan yang mendasarinya. Azure Media Services menerapkan penginstalan otomatis tanda tangan terbaru oleh pembaruan mesin Microsoft Antimalware.

Tanggung Jawab: Microsoft

ES-3: Memastikan perangkat lunak antimalware dan tanda tangan diperbarui

Panduan: Azure Media Services tidak memerlukan perubahan konfigurasi yang menghadap pelanggan, pengaturan tambahan, atau penyebaran layanan tambahan apa pun untuk melindunginya dari malware.

Azure Media Services menggunakan antimalware pada semua sumber daya komputasi layanan yang mendasarinya. Azure Media Services menerapkan penginstalan otomatis tanda tangan terbaru oleh pembaruan mesin Microsoft Antimalware.

Tanggung Jawab: Microsoft

Microsoft Azure Backup dan Pemulihan

Untuk informasi selengkapnya, lihat Azure Security Benchmark: Microsoft Azure Backup dan Pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Panduan: Azure Media Services saat ini tidak mendukung integrasi dengan Azure Backup. Tetapi Anda dapat menyebarkan banyak akun untuk berfungsi sebagai akun utama atau akun cadangan.

Tanggung Jawab: Pelanggan

BR-2: Mengenkripsi data cadangan

Panduan: Apakah Anda memiliki akun Azure Media Services yang digunakan sebagai akun utama atau cadangan? Kemudian Anda dapat mengaktifkan enkripsi saat tidak aktif untuk setiap data yang disimpan, menggunakan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan.

Tanggung Jawab: Pelanggan

BR-3: Memvalidasi semua cadangan termasuk kunci yang dikelola pelanggan

Panduan: Secara berkala, pastikan Anda dapat memulihkan kunci yang dikelola pelanggan yang dicadangkan. Anda dapat menggunakan kunci ini untuk mengenkripsi data tidak aktif Azure Media Service Anda.

Tanggung Jawab: Pelanggan

BR-4: Mengurangi risiko kehilangan kunci

Panduan: Menetapkan penanganan untuk mencegah dan memulihkan dari hilangnya kunci enkripsi yang digunakan Azure Media Services. Aktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh di Azure Key Vault. Untuk melindungi kunci dari penghapusan yang tidak disengaja atau berbahaya, Azure Key Vault menyimpan kunci enkripsi Anda.

Tanggung Jawab: Pelanggan

Langkah berikutnya