Azure-beveiligingsbasislijn voor Content Delivery Network

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 3.0 toe op Content Delivery Network. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Content Delivery Network.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een functie relevante Azure Policy definities heeft, worden deze weergegeven in deze basislijn, zodat u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark kunt meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Functies die niet van toepassing zijn op Content Delivery Network zijn uitgesloten. Als u wilt zien hoe Content Delivery Network volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor content delivery network-beveiligingsbasislijn.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Content Delivery Network, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk Servicegedrag Waarde
Productcategorie Netwerken
Klant heeft toegang tot HOST/OS Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Niet waar
Slaat inhoud van klanten at rest op Waar

Identiteitsbeheer

Zie de Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor toegang tot gegevensvlak

Beschrijving: Service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-7: Toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: Toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-8: De blootstelling van referenties en geheimen beperken

Functies

Integratie en opslag van servicereferenties en geheimen in Azure Key Vault

Beschrijving: Het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Bevoegde toegang

Zie de Azure Security Benchmark: Bevoegde toegang voor meer informatie.

PA-7: Volg net genoeg beheer (minimale bevoegdheid) principe

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de acties van het gegevensvlak van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.

Naslaginformatie: Azure RBAC-rollen - CDN

Gegevensbeveiliging

Zie de Azure Security Benchmark: Gegevensbeveiliging voor meer informatie.

DP-3: Gevoelige gegevens versleutelen tijdens overdracht

Functies

Gegevens in transitversleuteling

Beschrijving: Service ondersteunt gegevensversleuteling in transit voor het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Gedeeld

Configuratierichtlijnen: Veilige overdracht in services inschakelen waarbij er een ingebouwde functie voor doorvoerversleuteling is. Dwing HTTPS af op webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Verouderde versies zoals SSL 3.0, TLS v1.0 moeten worden uitgeschakeld.

Naslaginformatie: HTTPS configureren op een Azure CDN

DP-4: Standaard gegevens-at-rest-versleuteling inschakelen

Functies

Data-at-rest-versleuteling met behulp van platformsleutels

Beschrijving: Versleuteling van data-at-rest met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten in rust wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: De service ondersteunt Azure Key Vault-integratie voor klantsleutels, geheimen of certificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: De service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: maak aangepaste domeinen waarin de TLS-certificaten voor de domeinen kunnen worden geladen vanuit de Azure-Key Vault.

Naslaginformatie: aangepaste CDN SSL

Asset-management

Zie de Azure Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik Azure Policy effecten [weigeren] en [implementeren als dit niet bestaat] om veilige configuratie af te dwingen in Azure-resources.

Logboekregistratie en bedreidingsdetectie

Zie de Azure Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service/productaanbiedingen

Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel resourcelogboeken in voor Azure CDN om realtime bewaking, metrische gegevens vast te leggen en logboeken voor de service te openen.

Naslaginformatie: Azure Diagnostic Log Content Delivery Network

Back-ups maken en herstellen

Zie de Azure Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Functies

Azure Backup

Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen