Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta línea de base de seguridad aplica instrucciones del punto de referencia de seguridad en la nube de Microsoft, versión 1.0 a la Red de Entrega de Contenido. El banco de pruebas de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo proteger las soluciones en la nube en Azure. El contenido se agrupa mediante los controles de seguridad definidos por el banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas aplicables a Content Delivery Network.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante Microsoft Defender for Cloud. Las definiciones de Azure Policy se mostrarán en la sección Cumplimiento normativo de la página del portal de Microsoft Defender for Cloud.
Cuando una característica tiene definiciones de Azure Policy pertinentes, se muestran en esta línea de base para ayudarle a medir el cumplimiento de los controles y recomendaciones de pruebas comparativas de seguridad en la nube de Microsoft. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.
Nota:
Se han excluido las características no aplicables a Content Delivery Network. Para conocer cómo el Content Delivery Network se mapea por completo en la prueba de referencia de seguridad en la nube de Microsoft, consulte el archivo completo de mapeo de la línea de base de seguridad del Content Delivery Network.
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Content Delivery Network, lo que puede dar lugar a mayores consideraciones de seguridad.
Atributo de comportamiento del servicio | Importancia |
---|---|
Categoría del producto | Redes |
El cliente puede acceder a HOST/OS. | Sin acceso |
El servicio se puede implementar en la red virtual del cliente. | Falso |
Almacena contenido de clientes en reposo | Cierto |
Administración de identidades
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de identidades.
IM-1: Uso del sistema de autenticación e identidad centralizado
Características
Autenticación de Azure AD necesaria para el acceso al plano de datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-7: Restringir el acceso a los recursos en función de las condiciones
Características
Acceso condicional al plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
IM-8: Restringir la exposición de credenciales y secretos
Características
Credenciales de servicio y secretos para la integración y el almacenamiento en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Acceso con privilegios
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Acceso con privilegios.
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Cierto | Falso | Cliente |
Guía de configuración: use el control de acceso basado en rol de Azure (Azure RBAC) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.
Referencia: Roles RBAC de Azure: CDN
Protección de los datos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Protección de datos.
DP-3: Cifrar datos confidenciales en tránsito
Características
Cifrado de datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Cierto | Falso | Compartido |
Guía de Configuración: habilite la transferencia segura en los servicios en los que hay una característica nativa de cifrado de datos en tránsito integrada. Aplique HTTPS en cualquier aplicación web y servicios y asegúrese de que se usa TLS v1.2 o posterior. Las versiones heredadas, como SSL 3.0, TLS v1.0 deben deshabilitarse.
Referencia: Configuración de HTTPS en una red CDN de Azure
DP-4: Habilitar el cifrado de datos en reposo de forma predeterminada
Características
Cifrado de datos en reposo mediante claves de plataforma
Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Cierto | Cierto | Microsoft |
Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.
DP-6: Uso de un proceso seguro de administración de claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier clave de cliente, secretos o certificados. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
DP-7: Uso de un proceso de administración de certificados seguro
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para cualquier certificado de cliente. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Cierto | Falso | Cliente |
Guía de configuración: cree dominios personalizados en los que se puedan cargar los certificados TLS para los dominios desde Azure Key Vault.
Referencia: SSL personalizado de CDN
Administración de recursos
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft : Administración de recursos.
AM-2: Usar solo servicios aprobados
Características
Soporte técnico de Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Cierto | Falso | Cliente |
Guía para la configuración: Utilice Microsoft Defender for Cloud para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de sus recursos de Azure. Use Azure Monitor para crear alertas cuando se detecte una desviación de configuración en los recursos. Utiliza los efectos [deny] y [deploy if not exists] de Azure Policy para aplicar configuraciones seguras en los recursos de Azure.
Registro y detección de amenazas
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Características
Oferta de Microsoft Defender para servicios/productos
Descripción: El servicio cuenta con una solución de Microsoft Defender específica para la oferta, destinada a supervisar y alertar sobre problemas de seguridad. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
LT-4: Habilitación del registro para la investigación de seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros específicos del servicio mejorados. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Cierto | Falso | Cliente |
Guía de configuración: habilite los registros de recursos de Azure CDN para capturar registros de acceso, métricas y supervisión en tiempo real para el servicio.
Referencia: Azure Diagnostic Log Content Delivery Network
Copia de seguridad y recuperación
Para obtener más información, consulte la prueba comparativa de seguridad en la nube de Microsoft: Copia de seguridad y recuperación.
BR-1: Garantizar copias de seguridad automatizadas normales
Características
Azure Backup
Descripción: El servicio puede ser respaldado por el servicio Azure Backup. Más información.
Compatible | Habilitado de forma predeterminada | Responsabilidad de configuración |
---|---|---|
Falso | No es aplicable | No es aplicable |
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
- Consulte la introducción al banco de pruebas de seguridad en la nube de Microsoft.
- Más información sobre las líneas base de seguridad de Azure