Freigeben über


Azure-Sicherheitsgrundwerte für das Content Delivery Network

Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf das Content Delivery Network an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Die Inhalte werden nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Richtlinien für das Content Delivery Network definiert sind.

Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.

Hinweis

Features, die nicht auf das Content Delivery Network zutreffen, wurden ausgeschlossen. Informationen dazu, wie das Content Delivery Network vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Basiszuordnungsdatei für das Content Delivery Network.

Sicherheitsprofil

Das Sicherheitsprofil fasst die hochwirksamen Verhaltensweisen des Content Delivery Networks zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Vernetzung
Kunde kann auf HOST/Betriebssystem zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. Falsch
Ruhende Kundeninhalte werden gespeichert. Richtig

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.

IM-1: Verwenden Sie ein zentrales Identitäts- und Authentifizierungssystem

Funktionen

Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Falsch Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen

Funktionen

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Falsch Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Funktionen

Dienstanmeldedaten und Geheimnisse unterstützen Integration und Speicherung in Azure Key Vault

Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Falsch Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)

Funktionen

Azure RBAC für die Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kunde

Konfigurationsleitfaden: Verwenden der rollenbasierten Azure-Zugriffssteuerung (Azure RBAC) zum Verwalten des Azure-Ressourcenzugriffs über integrierte Rollenzuweisungen. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.

Referenz: Azure RBAC-Rollen – CDN

Datenschutz

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.

DP-3: Verschlüsseln vertraulicher Daten während der Übertragung

Funktionen

Daten in der Transitverschlüsselung

Beschreibung: Der Dienst unterstützt die Verschlüsselung während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Geteilt

Konfigurationsleitfaden: Aktivieren Sie die sichere Übertragung in Diensten, die über eine integrierte Verschlüsselungsfunktion für Daten im Transit verfügen. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden.

Referenz: Konfigurieren von HTTPS auf einem Azure CDN

DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Richtig Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.

DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses

Funktionen

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Falsch Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Funktionen

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kunde

Konfigurationsleitfaden: Erstellen benutzerdefinierter Domänen, in denen die TLS-Zertifikate für die Domänen aus dem Azure Key Vault geladen werden können.

Referenz: Benutzerdefiniertes CDN SSL

Vermögensverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Nur genehmigte Dienste verwenden

Funktionen

Azure-Richtlinienunterstützung

Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kunde

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Azure Policy-Einstellungen [deny] und [deploy if not exists], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Bedrohungserkennungsfunktionen

Funktionen

Microsoft Defender for Service /Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Falsch Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke schicken, z. B. ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Richtig Falsch Kunde

Konfigurationsleitfaden: Aktivieren von Ressourcenprotokollen für Azure CDN zum Erfassen von Echtzeitüberwachung, Metriken und Zugriffsprotokollen für den Dienst.

Referenz: Azure Diagnostic Log Content Delivery Network

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Azure Datensicherung

Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
Falsch Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Nächste Schritte