Azure 媒体服务的 Azure 安全基线

此安全基线将 Azure 安全基准 2.0 版中的指南应用到 Azure 媒体服务。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容分为 Azure 安全基准定义的安全控制和适用于媒体服务的相关指南。

当某个功能具有相关的Azure Policy定义时,它们列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Azure 媒体服务的控件以及建议逐字使用全局指导的控件。 若要了解 Azure 媒体服务如何完全映射到 Azure 安全基准,请参阅完整的认知服务安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-1:实现内部流量的安全性

指导:Azure 媒体服务不支持直接部署到虚拟网络。 无法将某些网络功能应用于产品/服务的资源,例如:

  • 网络安全组 (NSG):
  • 路由表
  • 其他网络相关设备,例如 Azure 防火墙

对于以下协议,媒体服务支持数字版权管理 (DRM) 密钥传递:

  • FairPlay
  • Widevine
  • PlayReady

支持的协议包括:

  • TLS 1.1
  • TLS 1.2
  • TLS 1.3

用户不可配置此设置。

要管理网络访问控制列表,媒体服务支持额外的网络安全功能。 仅允许与受信任的源通信。 通过配置下列服务,限制特定公共 IP 地址范围的访问权限:

  • 媒体服务流式处理终结点
  • 直播活动
  • 密钥传递

有关详细信息,请阅读以下文章:

责任:客户

NS-3:建立对 Azure 服务的专用网络访问

指导:使用 Azure 专用链接启用对 Azure 媒体服务第 3 版的专用访问。 可以从虚拟网络启用专用访问,而无需通过 Internet。

专用访问属于另一种深层防御措施。 该措施可对 Azure 服务提供的身份验证和流量提供进一步安全保障。

责任:客户

NS-7:安全域名服务 (DNS)

指导:Azure 媒体服务不会公开其基础 DNS 配置。 这些设置由 Microsoft 维护。

责任:Microsoft

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:Azure 媒体服务使用 Azure Active Directory (Azure AD) 作为默认标识和访问管理服务。 使 Azure AD 标准化,以便控制组织的标识和访问管理。

在组织的云安全做法中,应优先处理 Azure AD 保护事宜。 Azure AD 提供标识安全分数,以帮助评估与 Microsoft 的最佳做法建议相关的标识安全状况。 使用此分数估量配置与最佳做法建议的匹配程度。 还可以使用它来改进安全状况。

注意:Azure AD 支持外部标识。 使用此功能,没有 Microsoft 帐户的用户可以使用其外部标识登录到其应用程序和资源。

责任:客户

IM-2:安全且自动地管理应用程序标识

指导:在 Azure 媒体服务中,使用 Azure 托管标识从服务中为自动化方案启用本机身份验证。 应使用 Azure 托管身份功能,而不是创建功能更强大的人工帐户来访问或执行资源。 Azure 媒体服务可以对支持 Azure AD 身份验证的 Azure 服务和资源进行本机身份验证。 它通过预定义的访问授权规则进行身份验证,而无需使用源代码或配置文件中硬编码的凭据。

以下三种方案允许你将托管标识与媒体服务一起使用:

  • 向媒体服务帐户授予对 Key Vault 的访问权限以启用客户管理的密钥

  • 授予媒体服务帐户对存储帐户的访问权限,以允许媒体服务绕过 Azure 存储网络 ACL

  • 允许其他服务(例如 VM 或 Azure Functions)访问媒体服务

有关详细信息,请阅读以下文章:

责任:客户

IM-7:消除意外的凭据透露

指导:使用 Azure 媒体服务,客户可以通过 Azure 资源管理器 (ARM) 模板部署其资源。 这些资源可以包含标识或机密。 通过实现凭据扫描程序来识别与资源相关的代码或配置中的凭据。 凭据扫描程序还会建议将发现的凭据移动到更安全的位置,例如 Azure Key Vault。

对于 GitHub,可以使用本机机密扫描功能。 此功能可标识代码中的凭据或其他形式的机密。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-8:选择 Microsoft 支持的审批流程

指导:Azure 媒体服务不支持客户密码箱。 Microsoft 可以通过非密码箱方式与客户协作,从而获批准访问客户数据。

责任:共享

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-1:对敏感数据进行发现、分类和标记

指导:Azure 媒体服务可以存储敏感数据。 但其不提供本机发现、分类和标记敏感数据的功能。 组织必须建立流程来跟踪和保护 Azure 媒体服务使用的这些数据。

责任:客户

DP-2:保护敏感数据

指导:通过使用以下方法限制访问,以保护对 Azure 媒体服务存储的敏感数据的访问权限:

  • Azure RBAC
  • 基于网络的访问控制
  • Azure 服务中的特定控件(例如 Azure 存储加密)

为确保访问控制的一致性,请将所有类型的访问控制与企业分段策略保持一致。 根据敏感数据或业务关键型数据和系统的位置确定企业分段策略。

Microsoft 将基础 Microsoft 托管平台中的所有客户内容视为敏感内容。 它可保护客户数据,以防丢失和泄露。 为了始终确保 Azure 中客户数据的安全,Microsoft 实施了一些默认的数据保护控制机制和功能。

责任:客户

DP-3:监视未经授权的敏感数据传输

指导:Azure 媒体服务可以传输敏感数据。 但不支持对未经授权的敏感数据传输进行本机监视。 组织可以将事件配置为记录到 Azure Monitor。 组织还可以设置在任何异常活动上触发自定义逻辑应用自动化流。

责任:客户

DP-4:加密传输中的敏感信息

指导:若要对访问控制进行补充,可使用加密保护传输中的数据免受“带外”攻击(如流量捕获)。 此操作可确保攻击者无法轻易读取或修改数据。

Azure 媒体服务支持使用 TLS v1.2 或更高版本进行的传输中数据加密。 虽然此加密对于专用网络上的流量来说是可选的,但它对于外部和公共网络上的流量至关重要。 对于 HTTP 流量,请确保连接到 Azure 资源的任何客户端都可以协商 TLS 1.2 版或更高版本。 对于远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是使用未加密的协议。 禁用:

  • 过时的 SSL、TLS 和 SSH 版本
  • 过时的协议
  • 弱密码

默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

借助媒体服务,可以传送使用高级加密标准 (AES-128) 动态加密的直播和点播内容。 或者,可以使用三种主要数字版权管理 (DRM) 系统中的任何一种:

  • Microsoft PlayReady
  • Google Widevine
  • Apple FairPlay

有关详细信息,请阅读以下文章:

责任:共享

DP-5:加密静态敏感数据

指导:Azure 媒体服务默认为静态数据提供加密。 对于高度敏感的数据,可以使用自己的客户管理的密钥实现加密。 Azure 默认管理你的加密密钥,但也提供选项用于管理你自己的密钥(客户管理的密钥)。

责任:共享

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-2:确保安全团队有权访问资产清单和元数据

指导:要有条理地组织成分类,请将标记应用于 Azure 媒体服务:

  • 资源
  • 资源组
  • 订阅

每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:使用 Azure Policy 来审核和限制用户可在环境中预配哪些服务。 此工具还可以根据需要限制 Azure 媒体服务资源。 使用 Azure Resource Graph 查询和发现订阅中的资源。 也可以使用 Azure Monitor 创建在检测到未经批准的服务时触发警报的规则。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:Azure 媒体服务无法监视与其资源相关的安全威胁。 但组织可以根据需求启用自动化流。 如有必要,使用逻辑应用为媒体服务应用所配置的 Azure Monitor 日志。

责任:客户

LT-4:为 Azure 资源启用日志记录

指导:Azure 媒体服务可以监视网络出口流量,并显示离开流式处理终结点的带宽。 如果通过内容分发网络 (CDN) 启用了传送服务,请参阅 CDN 提供程序的功能。 媒体服务不会生成或处理需要启用的 DNS 查询日志。 媒体服务会将所有许可证请求记录到密钥传送服务。 如果在 Key Vault 同步之间发生客户托管的密钥同步失败情形,该服务将记录这些失败。

为媒体服务启用 Azure 资源日志。 要启用资源日志和日志数据收集,请使用 Microsoft Defender for Cloud 和 Azure Policy。 调查安全事件和之后进行取证练习时,这些日志可能至关重要。

活动日志包含 Azure 媒体服务资源的所有写入操作(PUT、POST 和 DELETE)。 活动日志会自动提供,但不包括读取操作 (GET)。 进行故障排除时,可以使用活动日志来查找错误。 或者,使用这些日志监视组织中的用户如何修改资源。

责任:客户

LT-5:集中管理和分析安全日志

指导:集中记录存储和分析来实现关联。 对于每个日志源,分配以下内容:

  • 数据所有者
  • 访问指导
  • 存储位置
  • 用于处理和访问数据的工具
  • 数据保留要求

确保将与 Azure 媒体服务相关的 Azure 活动日志集成到中心日志记录中。 通过 Azure Monitor 将日志引入聚合:

  • 终结点设备生成的安全数据
  • 网络资源
  • 其他安全系统

在 Azure Monitor 中,使用 Log Analytics 工作区执行查询和分析。 将 Azure 存储帐户用于长期存储和存档存储。 另外,启用 Microsoft Sentinel 或第三方 SIEM,并在其中加入数据。

许多组织选择将 Microsoft Sentinel 用于“热”数据(频繁使用的数据)。 然后,这些组织选择将 Azure 存储用于“冷”数据(不太频繁使用的数据)。

责任:客户

LT-6:配置日志存储保留期

指导:对于与 Azure 媒体服务相关的日志,请根据要求配置日志保留期:

  • 合规性
  • 法规
  • Microsoft Store

在 Azure Monitor 中,可根据组织的合规性规则设置 Log Analytics 工作区保持期。 对于长期存储和存档存储,可以使用以下帐户之一:

  • Azure 存储
  • Data Lake
  • Log Analytics 工作区

有关详细信息,请阅读以下文章:

责任:客户

LT-7:使用批准的时间同步源

指导:Azure 媒体服务不支持配置你自己的时间同步源。 媒体服务依赖于 Microsoft 时间同步源。 它并未向客户公开,以供其进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-1:为所有 Azure 服务建立安全配置

指导:若要审核和强制实施 Azure 资源的配置,Azure 媒体服务支持采用 Microsoft Defender for Cloud 中特定于服务的可用策略。 可以在 Microsoft Defender for Cloud 或 Azure Policy 计划中配置这些策略。

可以使用单个 Azure 蓝图定义自动部署和配置服务及应用程序环境,包括:

  • Azure 资源管理器模板
  • Azure RBAC 控制
  • 策略

有关详细信息,请阅读以下文章:

责任:客户

PV-2:为所有 Azure 服务维护安全配置

指导:若要强制实施和监视资源配置,Azure 媒体服务支持 Azure Policy 设置。 使用 Microsoft Defender for Cloud 监视配置基线。 使用 Azure Policy 中的“Deny”和“DeployIfNotExists”策略定义在 Azure 计算资源中强制执行安全配置,这些资源包括:

  • VM
  • 容器
  • 其他资源

有关详细信息,请阅读以下文章:

责任:客户

PV-6:执行软件漏洞评估

指导:Microsoft 对支持 Azure 媒体服务的基础系统执行漏洞管理。

责任:Microsoft

终结点安全性

有关详细信息,请参阅 Azure 安全基线:终结点安全性

ES-2:使用集中管理的新式反恶意软件

指导:Azure 媒体服务不需要更改任何面向客户的配置、进行额外设置或部署任何其他服务,以保护其免受恶意软件侵害。

Azure 媒体服务在所有基础服务计算资源上使用反恶意软件。 它通过 Microsoft Antimalware 引擎更新来应用最新签名的自动安装。

责任:Microsoft

ES-3:确保反恶意软件和签名已更新

指导:Azure 媒体服务不需要更改任何面向客户的配置、进行额外设置或部署任何其他服务,以保护其免受恶意软件侵害。

Azure 媒体服务在所有基础服务计算资源上使用反恶意软件。 它通过 Microsoft Antimalware 引擎更新来应用最新签名的自动安装。

责任:Microsoft

备份和恢复

有关详细信息,请参阅 Azure 安全基准:备份和恢复

BR-1:确保定期执行自动备份

指导:Azure 媒体服务当前不支持与 Azure 备份集成。 但你可以部署多个帐户作为主帐户或备份帐户。

责任:客户

BR-2:加密备份数据

指导:是否有任何 Azure 媒体服务帐户被用作主帐户或备份帐户? 然后,可以使用 Microsoft 管理的密钥或客户托管的密钥为任何存储的数据启用静态加密。

责任:客户

BR-3:验证所有备份,包括客户管理的密钥

指导:定期确保可以还原将备份的客户管理的密钥。 你可以使用这些密钥来加密 Azure 媒体服务的静态数据。

责任:客户

BR-4:减少密钥丢失风险

指导:采取措施来防止丢失和恢复 Azure 媒体服务使用的加密密钥。 在 Azure Key Vault 中启用软删除和清除保护。 要保护密钥以防其遭到意外或恶意删除,可以使用 Azure Key Vault 存放加密密钥。

责任:客户

后续步骤