このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 の ガイダンスを Content Delivery Network に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Content Delivery Network に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
注
コンテンツ配信ネットワークに適用できない機能は除外されています。 Content Delivery Network を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 Content Delivery Network のセキュリティ ベースライン マッピング ファイル全体を参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、コンテンツ配信ネットワークの影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
サービス動作属性 | 価値 |
---|---|
製品カテゴリ | ネットワーキング |
顧客が HOST または OS にアクセスできる | アクセス許可なし |
サービスは顧客の仮想ネットワークにデプロイできます | いいえ |
顧客のコンテンツを静止状態で保存する | 正しい |
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
特徴
データ プレーン アクセスには Azure AD 認証が必要です。
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-7: 条件に基づいてリソースへのアクセスを制限する
特徴
データ プレーンへの条件付きアクセス
説明: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
特徴
Azure Key Vault におけるサービス資格情報とシークレットの統合およびストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vault のネイティブな使用がサポートされています。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
特徴
データプレーンのためのAzure RBAC
説明: Azure Role-Based アクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
正しい | いいえ | カスタマー |
構成ガイダンス: 組み込みのロールの割り当てを使用して Azure リソース アクセスを管理するには、Azure ロールベースのアクセス制御 (Azure RBAC) を使用します。 Azure RBAC ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。
リファレンス: Azure RBAC ロール - CDN
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-3: 転送中の機密データの暗号化
特徴
転送中のデータの暗号化
説明: サービスは、データ プレーンの転送中のデータ暗号化をサポートします。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
正しい | いいえ | シェアード |
構成ガイダンス: 転送中のネイティブ データ暗号化機能が組み込まれているサービスで、セキュリティで保護された転送を有効にします。 任意の Web アプリケーションとサービスに HTTPS を適用し、TLS v1.2 以降が使用されていることを確認します。 SSL 3.0、TLS v1.0 などのレガシ バージョンは無効にする必要があります。
リファレンス: Azure CDN で HTTPS を構成する
DP-4: 保存データ暗号化を既定で有効にする
特徴
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-6: セキュリティで保護されたキー管理プロセスを使用する
特徴
Azure Key Vault でのキー管理
説明: このサービスは、顧客キー、シークレット、または証明書に対する Azure Key Vault 統合をサポートします。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-7: セキュリティで保護された証明書管理プロセスを使用する
特徴
Azure Key Vault での証明書の管理
説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
正しい | いいえ | カスタマー |
構成ガイダンス: ドメインの TLS 証明書を Azure Key Vault から読み込むことができるカスタム ドメインを作成します。
リファレンス: CDN カスタム SSL
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
特徴
Azure Policy のサポート
説明: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。 Azure Policy の [deny] 効果と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
ログ記録と脅威の検出
詳細については、 Microsoft クラウド セキュリティ ベンチマーク「ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
特徴
サービスおよび製品提供のためのMicrosoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためにログ記録を有効にする
特徴
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
正しい | いいえ | カスタマー |
構成ガイダンス: Azure CDN のリソース ログを有効にして、サービスのリアルタイムの監視、メトリック、アクセス ログをキャプチャします。
リファレンス: Azure 診断ログ コンテンツ配信ネットワーク
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1: 定期的な自動バックアップを確保する
特徴
Azure バックアップ
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらをご覧ください。
サポートされています | 既定で有効 | 設定の責任 |
---|---|---|
いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。