Базовый план обеспечения безопасности Azure для Служб мультимедиа Azure

В этой базовой конфигурации безопасности к Службам мультимедиа Azure применяются рекомендации Azure Security Benchmark версии 2.0. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по элементам управления безопасностью, определенным в Azure Security Benchmark, в соответствии с указаниями, применимыми к Службам мультимедиа Azure.

Если функция имеет соответствующие Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Службам мультимедиа Azure, и те, к которым применяются глобальные рекомендации, были исключены. Сведения о том, как Службы мультимедиа Azure полностью сопоставляется с эталоном безопасности Azure, см. в полном файле сопоставления эталона безопасности Служб мультимедиа Azure.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Рекомендации. Службы мультимедиа Azure не поддерживают развертывание непосредственно в виртуальную сеть. Вы не можете применить некоторые сетевые функции к ресурсам предложения, например:

  • Группы безопасности сети (NSG)
  • Таблицы маршрутов
  • Другие устройства, зависящие от сети, например Брандмауэр Azure

Службы мультимедиа поддерживают доставку ключей управления цифровыми правами (DRM) для следующих протоколов:

  • FairPlay
  • Widevine
  • PlayReady

Поддерживаемые протоколы:

  • TLS 1.1
  • TLS 1.2
  • Протокол TLS 1.3

Этот параметр не настраивается пользователем.

Для управления списками управления доступом к сети Службы мультимедиа поддерживают дополнительные функции сетевой безопасности. Разрешайте связь только с надежными источниками. Ограничьте доступ из конкретных диапазонов общедоступных IP-адресов, настроив следующие службы:

  • Конечные точки потоковой передачи Служб мультимедиа
  • Динамические события
  • Доставка ключа

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Рекомендации. Использование Приватного канала Azure для включения закрытого доступа к Службам мультимедиа Azure v3. Вы можете включить закрытый доступ из виртуальных сетей, не переключаясь на Интернет.

Закрытый доступ — это еще одна мера глубокой защиты. Она дополняет проверку подлинности и безопасность трафика, предоставляемые службами Azure.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Рекомендации. Службы мультимедиа Azure не предоставляют свои базовые конфигурации DNS. Поддержка этих параметров обеспечивается корпорацией Майкрософт.

Ответственность: Microsoft

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Рекомендации. В Службах мультимедиа Azure в качестве службы управления удостоверениями и доступом по умолчанию используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, которая помогает оценить безопасность удостоверений в соответствии с рекомендациями Майкрософт. Используйте ее, чтобы определить, насколько ваша конфигурация соответствует рекомендациям, и улучшить состояние безопасности.

Примечание. Azure AD поддерживает внешние удостоверения. С помощью этой функции пользователи, не имеющие учетной записи Майкрософт, могут входить в свои приложения и ресурсы.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Рекомендации. В Службах мультимедиа Azure используйте удостоверения, управляемые Azure, чтобы включить проверку подлинности из службы для сценариев автоматизации. Рекомендуется использовать функцию управляемого удостоверения Azure вместо создания более многофункциональной учетной записи пользователя для доступа к ресурсам или их выполнения. Службы мультимедиа Azure могут выполнять проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Проверка подлинности выполняется с помощью предварительно определенного правила предоставления доступа без использования учетных данных, которое жестко закодировано в файлах исходного кода или в файлах конфигурации.

Три сценария позволяют использовать управляемые удостоверения со Службам мультимедиа:

  • Предоставление учетной записи Служб мультимедиа доступа к хранилищу Key Vault для включения управляемых клиентом ключей

  • Предоставление учетной записи служб мультимедиа доступа к учетным записям хранения, чтобы разрешить Службам мультимедиа обходить списки управления доступом сети службы хранилища Azure

  • Предоставление другим службам (например, виртуальным машинам или функциям Azure) доступа к службам мультимедиа

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Рекомендации. С помощью Служб мультимедиа Azure клиенты могут развертывать ресурсы, используя шаблоны Azure Resource Manager (ARM). Эти ресурсы могут содержать удостоверения или секреты. Реализуйте Сканер учетных данных для обнаружения учетных данных в коде или конфигурациях, связанных с вашими ресурсами. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать функцию проверки собственного секрета. Эта функция определяет учетные данные и другие виды секретов в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Рекомендации. Службы мультимедиа Azure не поддерживают защищенное хранилище. Корпорация Майкрософт может работать с клиентами через методы, не связанные с хранилищем, для разрешения доступа к данным клиентов.

Ответственность: Совмещаемая блокировка

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Рекомендации. Службы мультимедиа Azure могут хранить конфиденциальные данные. Но у них нет собственных возможностей для обнаружения, классификации и маркировки конфиденциальных данных. Организации должны реализовать процессы для контроля и защиты этих конфиденциальных данных, которые используют Службы мультимедиа Azure.

Ответственность: Customer

DP-2. Защита конфиденциальных данных

Рекомендации. Защищайте доступ к конфиденциальным данным, которые хранятся в Службах мультимедиа Azure, путем ограничения доступа с помощью следующих компонентов:

  • Azure RBAC
  • Элементы управления доступом на основе ролей
  • Определенных элементов управления в службах Azure (таких как шифрование для службы хранилища Azure)

Чтобы гарантировать постоянное управление доступом, согласуйте все его типы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Корпорация Майкрософт рассматривает все содержимое клиента на управляемой ею базовой платформе как конфиденциальное и предоставляет защиту от потери и раскрытия клиентских данных. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Рекомендации. Службы мультимедиа Azure могут передавать конфиденциальные данные. Но они не поддерживают встроенный мониторинг несанкционированной передачи конфиденциальных данных. Организации могут настраивать события, регистрируемые в Azure Monitor. Организации также могут настраивать потоки автоматизации Приложений логики для запуска любых аномальных действий.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Рекомендации. В дополнение к средствам управления доступом передаваемые данные должны быть защищены от "внешних" атак (например, перехвата трафика) с помощью шифрования. Это позволяет убедиться, что злоумышленникам не удастся легко прочитать или изменить данные.

Службы мультимедиа Azure поддерживают шифрование данных при передаче с помощью TLS версии 1.2 или более поздней. Хотя такое шифрование не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут использовать TLS версии 1.2 или более поздней. Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Отключите:

  • Устаревшие версии SSL, TLS и SSH
  • Устаревшие протоколы
  • Слабые шифры

Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.

С помощью Служб мультимедиа вы можете предоставить динамическое содержимое, зашифрованное с помощью алгоритма AES (AES-128). Вы также можете использовать любую из трех основных систем управления цифровыми правами (DRM):

  • Microsoft PlayReady
  • Google Widevine
  • Apple FairPlay

Дополнительные сведения см. в следующих статьях:

Ответственность: Совмещаемая блокировка

DP-5. Шифрование конфиденциальных неактивных данных

Рекомендации. Службы мультимедиа Azure обеспечивают шифрование неактивных данных по умолчанию. Для конфиденциальных данных вы можете реализовать шифрование с помощью собственного ключа, управляемого клиентом. Azure управляет ключами шифрования по умолчанию, но также предоставляет варианты для управления собственными ключами (ключи, управляемые клиентом).

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-2. Предоставление группе безопасности доступа к данным инвентаризации и метаданным активов

Рекомендации. Чтобы логически организовать ресурсы в таксономию, присвойте теги следующим объектам Службам мультимедиа Azure:

  • Ресурсы
  • Группы ресурсов
  • Подписки

Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Рекомендации. Используйте Политику Azure для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Это средство также может ограничить ресурсы Служб мультимедиа Azure, если это необходимо. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. С помощью Azure Monitor создайте правила, в соответствии с которыми при обнаружении неутвержденной службы будут выдаваться оповещения.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Рекомендации. Службы мультимедиа Azure не могут отслеживать угрозы безопасности, связанные с их ресурсами. Однако организации могут включить автоматические потоки в зависимости от своих потребностей. При необходимости примените настроенные журналы Azure Monitor для Служб мультимедиа с помощью приложений логики.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Рекомендации. Службы мультимедиа Azure обеспечивают мониторинг трафика исходящего трафика, который показывает, что пропускная способность выходит за пределы конечных точек потоковой передачи. Если вы включили доставку через сеть доставки содержимого (CDN), изучите возможности поставщика CDN. Службы мультимедиа не создают и не обрабатывают журналы запросов DNS, которые необходимо включить. Службы мультимедиа регистрируют все запросы лицензий в Службе доставки ключей. Они записывают в журнал ошибки синхронизации ключей, которыми управляет клиент, когда они происходят между синхронизацией Key Vault.

Включите журналы ресурсов Azure для Служб мультимедиа. Чтобы включить сбор журналов ресурсов и данных журналов, используйте Microsoft Defender для облака и Политику Azure. Эти журналы могут быть критически важными при расследовании инцидентов безопасности и во время судебной экспертизы в дальнейшем.

Журналы действий содержат все операции записи (PUT, POST, DELETE) для ресурсов Служб мультимедиа Azure. Журналы действий доступны автоматически, но они не содержат операции чтения (GET). Чтобы найти ошибку при устранении неполадок, можно использовать журналы действий. Их также можно использовать для наблюдения за тем, как пользователь в вашей организации изменяет ресурс.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Для каждого источника журнала назначьте:

  • владельца данных;
  • рекомендации по доступу;
  • Расположение хранения
  • средства, которые используются для обработки данных и доступа к ним;
  • требования к хранению данных.

Убедитесь, что вы интегрируете журналы действий Azure, связанные со Службами мультимедиа Azure, с центральным хранилищем. Получайте журналы с помощью Azure Monitor для статистической обработки следующих данных:

  • Данные безопасности, создаваемые устройствами конечных точек
  • Сетевые ресурсы
  • Другие системы безопасности

Для запросов и выполнения аналитики в Azure Monitor используйте рабочие области Log Analytics. Используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения. Кроме того, включите и подключите данные к Microsoft Sentinel или сторонней системе SIEM.

Многие организации предпочитают работать с Microsoft Sentinel для часто используемых "горячих" данных. Эти организации выбирают службу хранилища Azure для "холодных" данных, которые используются реже.

Ответственность: Customer

LT-6: Настройка хранения журналов

Рекомендации. Для журналов, связанных со Службами мультимедиа Azure, настройте срок хранения журнала в соответствии с вашими требованиями:

  • Соответствие нормативным требованиям
  • Нормативы
  • Бизнес

В Azure Monitor можно задать период хранения для рабочей области Log Analytics согласно нормативным требованиям организации. Для долгосрочного и архивного хранения используйте одну из следующих учетных записей:

  • Служба хранилища Azure
  • Data Lake
  • Рабочая область Log Analytics

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Рекомендации. Службы мультимедиа Azure не поддерживают настройку собственных источников синхронизации времени. Службы мультимедиа полагаются на источники синхронизации времени корпорации Майкрософт. Они не предоставляются клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Рекомендации. Для аудита и принудительного применения конфигураций ресурсов Azure Службы мультимедиа Azure поддерживают использование указанных ниже политик отдельных служб в Microsoft Defender для облака. Эти политики можно настроить в Microsoft Defender для облака или с использованием инициатив Политики Azure.

Используйте одно определение Azure Blueprints для автоматизации развертывания и настройки служб и сред приложений, в том числе:

  • шаблонов Azure Resources Manager;
  • элементов управления Azure RBAC.
  • Политики

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Рекомендации. Для применения и мониторинга конфигураций ресурсов Службы мультимедиа Azure поддерживают параметры Политики Azure Используйте Microsoft Defender для облака, чтобы вести мониторинг конфигурационной базы. Используя определения политик Deny и DeployIfNotExists Политики Azure, необходимо обеспечить безопасную настройку в различных вычислительных ресурсах Azure, в том числе:

  • Виртуальные машины
  • Контейнеры
  • Другие ресурсы

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

PV-6. Выполнение оценки уязвимостей программного обеспечения

Рекомендации. Корпорация Майкрософт управляет уязвимостью в базовых системах, поддерживающих Службы мультимедиа Azure.

Ответственность: Microsoft

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-2. Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Рекомендации. Службам мультимедиа Azure не требуются изменения конфигураций, доступных клиентам, настройка дополнительных параметров или развертывание дополнительных служб для защиты от вредоносных программ.

Службы мультимедиа Azure используют антивредоносное ПО для всех базовых ресурсов. Службы применяют автоматическую установку последних сигнатур с помощью обновлений модуля Microsoft Antimalware.

Ответственность: Microsoft

ES-3. Своевременное обновление программного обеспечения для защиты от вредоносных программ и сигнатур

Рекомендации. Службам мультимедиа Azure не требуются изменения конфигураций, доступных клиентам, настройка дополнительных параметров или развертывание дополнительных служб для защиты от вредоносных программ.

Службы мультимедиа Azure используют антивредоносное ПО для всех базовых ресурсов. Службы применяют автоматическую установку последних сигнатур с помощью обновлений модуля Microsoft Antimalware.

Ответственность: Microsoft

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Рекомендации. В настоящее время Службы мультимедиа Azure не поддерживают интеграцию с Azure Backup. Однако вы можете развернуть множество учетных записей для использования в качестве основной учетной записи или учетной записи резервного копирования.

Ответственность: Customer

BR-2: шифрование данных резервного копирования

Рекомендации. У вас есть учетные записи Службы мультимедиа Azure, используемые в качестве основных или резервных? Тогда вы можете включить шифрование неактивных данных для любых сохраненных данных, используя ключи, управляемые корпорацией Майкрософт, или ключи, управляемые клиентом.

Ответственность: Customer

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Рекомендации. Периодически проверяйте, что вы можете восстановить резервные копии ключей, управляемых клиентом. Вы можете использовать эти ключи для шифрования неактивных данных Служб мультимедиа Azure.

Ответственность: Customer

BR-4: снижение риска потери ключей

Рекомендации. Примите меры по предотвращению и восстановлению после потери ключей шифрования, которые используются Службами мультимедиа Azure. Включите обратимое удаление и защиту от очистки в Azure Key Vault. Чтобы защитить ключи от случайного или вредоносного удаления, Azure Key Vault применяет ключи шифрования.

Ответственность: Customer

Следующие шаги