Garis besar keamanan Azure untuk Content Delivery Network
Artikel
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Content Delivery Network. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Content Delivery Network.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan ke pengguna, grup, perwakilan layanan, dan identitas terkelola.
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Bersama
Panduan Konfigurasi: Aktifkan transfer aman dalam layanan di mana ada data asli dalam fitur enkripsi transit bawaan. Terapkan HTTPS pada aplikasi dan layanan web apa pun dan pastikan TLS v1.2 atau yang lebih baru digunakan. Versi warisan seperti SSL 3.0, TLS v1.0 harus dinonaktifkan.
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
True
Microsoft
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
FALSE
Tidak berlaku
Tidak berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Buat domain kustom tempat sertifikat TLS untuk domain dapat dimuat dari azure Key Vault.
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Microsoft Defender untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
FALSE
Tidak berlaku
Tidak berlaku
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log.
Pelajari lebih lanjut.
Didukung
Diaktifkan Secara Default
Tanggung Jawab Konfigurasi
True
FALSE
Pelanggan
Panduan Konfigurasi: Aktifkan log sumber daya untuk Azure CDN untuk menangkap pemantauan real-time, metrik, dan log akses untuk layanan.
Jelajahi pemfilteran lalu lintas jaringan dengan Grup Keamanan Jaringan, siapkan Microsoft Defender untuk Cloud, buat ruang kerja Analitik Log, konfigurasikan integrasi agen Analitik Log, jaringan Azure Key Vault, dan sambungkan server Azure SQL menggunakan Azure Private Endpoint di portal Azure. Tingkatkan keamanan cloud secara efektif. (SC-5002)
Artikel ini menyediakan instruksi langkah demi langkah tentang cara bermigrasi dari profil Azure CDN dari Microsoft (klasik) ke profil tingkat Azure Front Door Standard atau Premium.
Azure Front Door adalah layanan jaringan pengiriman konten cloud (CDN) modern yang memberikan pengalaman pengguna yang berkinerja tinggi, skalabilitas, dan aman untuk konten dan aplikasi Anda. Pelajari cara menggunakan Front Door dengan mulai cepat, tutorial, dan contoh kami.