Předdefinované definice služby Azure Policy pro Key Vault
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Key Vault. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Key Vault (služba)
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
[Preview]: Spravovaný HSM služby Azure Key Vault by měl zakázat přístup k veřejné síti. | Zakažte přístup k veřejné síti pro spravovaný HSM služby Azure Key Vault, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
[Preview]: Spravovaný HSM služby Azure Key Vault by měl používat privátní propojení. | Private Link poskytuje způsob připojení spravovaného HSM služby Azure Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, zakázáno | 1.0.0-preview |
[Preview]: Certifikáty by měly vydávat některé ze zadaných neintegrovanou certifikační autoritou. | Spravujte požadavky organizace na dodržování předpisů zadáním vlastních nebo interních certifikačních autorit, které můžou vydávat certifikáty ve vašem trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
[Preview]: Konfigurace spravovaného HSM služby Azure Key Vault pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro spravovaný HSM služby Azure Key Vault, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Upravit, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace spravovaného HSM služby Azure Key Vault s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na spravovaný HSM služby Azure Key Vault můžete snížit rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, zakázáno | 1.0.0-preview |
Spravovaný HSM služby Azure Key Vault by měl mít povolenou ochranu před vymazáním. | Škodlivé odstranění spravovaného HSM služby Azure Key Vault může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit spravovaný HSM služby Azure Key Vault. Ochrana před vymazáním chrání před vnitřními útoky tím, že vynucuje povinnou dobu uchovávání pro obnovitelné odstranění spravovaného HSM služby Azure Key Vault. Nikdo ve vaší organizaci ani Microsoft nebude moct během doby uchovávání obnovitelného odstranění vyprázdnit spravovaný HSM služby Azure Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
Azure Key Vault by měl zakázat přístup k veřejné síti. | Zakažte přístup k veřejné síti pro váš trezor klíčů, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/akvprivatelink. | Audit, Odepřít, Zakázáno | 1.1.0 |
Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
Azure Key Vault by měl používat model oprávnění RBAC. | Povolte model oprávnění RBAC napříč službami Key Vault. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Odepřít, Zakázáno | 1.0.1 |
Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Certifikáty by měly být vydány zadanou integrovanou certifikační autoritou. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním integrovaných certifikačních autorit Azure, které můžou vydávat certifikáty ve vašem trezoru klíčů, jako je Digicert nebo GlobalSign. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty by měly být vydány zadanou neintegrovanou certifikační autoritou. | Spravujte požadavky organizace na dodržování předpisů zadáním jednoho vlastního nebo interního certifikačního úřadu, který může vydávat certifikáty ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.1 |
Certifikáty by měly mít zadané aktivační události akce životnosti. | Spravujte požadavky organizace na dodržování předpisů tím, že určíte, jestli se akce životnosti certifikátu aktivuje v určitém procentu jeho životnosti nebo v určitém počtu dnů před vypršením jeho platnosti. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
Platnost certifikátů by neměla vypršet do zadaného počtu dnů. | Spravujte certifikáty, jejichž platnost vyprší během zadaného počtu dnů, abyste měli jistotu, že má vaše organizace dostatek času na obměně certifikátu před vypršením platnosti. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.1 |
Certifikáty by měly používat povolené typy klíčů. | Správa požadavků organizace na dodržování předpisů omezením typů klíčů povolených pro certifikáty | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty používající kryptografii se třemi tečkami by měly mít povolené názvy křivek. | Umožňuje spravovat povolené názvy tří teček pro certifikáty ECC uložené v trezoru klíčů. Další informace najdete na adrese https://aka.ms/akvpolicy. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Spravujte požadavky organizace na dodržování předpisů zadáním minimální velikosti klíče pro certifikáty RSA uložené ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Konfigurace služby Azure Key Vault s privátními koncovými body | Privátní koncové body propojují vaše virtuální sítě se službami Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace trezorů klíčů pro povolení brány firewall | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Pak můžete nakonfigurovat konkrétní rozsahy IP adres, abyste omezili přístup k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Upravit, zakázáno | 1.1.1 |
Nasazení – Konfigurace nastavení diagnostiky pro Azure Key Vault do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Azure Key Vault pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli služba Key Vault, která chybí. | DeployIfNotExists, zakázáno | 2.0.1 |
Nasazení – Konfigurace nastavení diagnostiky pro pracovní prostor služby Log Analytics, který se má povolit ve spravovaném HSM služby Azure Key Vault | Nasadí nastavení diagnostiky spravovaného HSM služby Azure Key Vault pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakýkoli spravovaný HSM služby Azure Key Vault, u kterého chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
Nasazení – Konfigurace nastavení diagnostiky do centra událostí, které se povolí ve spravovaném HSM služby Azure Key Vault | Nasadí nastavení diagnostiky spravovaného HSM služby Azure Key Vault pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakýkoli spravovaný HSM služby Azure Key Vault, u kterého chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 1.0.0 |
Nasazení nastavení diagnostiky pro službu Key Vault do centra událostí | Nasadí nastavení diagnostiky pro Službu Key Vault pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakékoli služby Key Vault, u kterého chybí toto nastavení diagnostiky. | DeployIfNotExists, zakázáno | 3.0.1 |
Nasazení nastavení diagnostiky pro Službu Key Vault do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro Službu Key Vault pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Key Vault, u které chybí tato nastavení diagnostiky. | DeployIfNotExists, zakázáno | 3.0.0 |
Povolení protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro trezory klíčů (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Povolení protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro trezory klíčů (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Povolení protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do služby Storage | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro trezory klíčů (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Povolení protokolování podle skupiny kategorií pro spravované HSM (microsoft.keyvault/managedhsms) do centra událostí | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí pro spravované HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Povolení protokolování podle skupiny kategorií pro spravované HSM (microsoft.keyvault/managedhsms) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro spravované HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Povolení protokolování podle skupiny kategorií pro spravované HSM (microsoft.keyvault/managedhsms) do úložiště | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště pro spravované HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
Služba Key Vault by měla používat koncový bod služby virtuální sítě. | Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. | Audit, zakázáno | 1.0.0 |
Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
Klíče by měly být podporovány modulem hardwarového zabezpečení (HSM). | HSM je modul hardwarového zabezpečení, který ukládá klíče. HSM poskytuje fyzickou vrstvu ochrany kryptografických klíčů. Kryptografický klíč nemůže opustit fyzický HSM, který poskytuje vyšší úroveň zabezpečení než softwarový klíč. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by měly být zadaným kryptografickým typem RSA nebo EC. | Některé aplikace vyžadují použití klíčů zálohovaných určitým kryptografickým typem. Vynucujte ve vašem prostředí konkrétní typ kryptografického klíče, RSA nebo EC. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by měly mít zásadu obměně, která zajistí, že se jejich rotace naplánuje během zadaného počtu dnů po vytvoření. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximálního počtu dnů po vytvoření klíče, dokud se nebude muset otočit. | Audit, zakázáno | 1.0.0 |
Klíče by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud je klíč příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy, která klíč otočí. Klíče by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby ve dnech, po kterou může být klíč platný v rámci trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by neměly být aktivní delší než zadaný počet dnů. | Zadejte počet dní, po který má být klíč aktivní. Klíče, které se používají po delší dobu, zvyšují pravděpodobnost, že by útočník mohl klíč ohrozit. Dobrým postupem zabezpečení je zajistit, aby klíče nebyly aktivní déle než dva roky. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče používající kryptografii se třemi tečkami by měly mít zadané názvy křivek. | Klíče zálohované kryptografií se třemi tečkami můžou mít různé názvy křivek. Některé aplikace jsou kompatibilní pouze se specifickými klíči se třemi tečkami. Vynucujte typy tří teček klíče křivky, které je možné vytvořit ve vašem prostředí. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Nastavte minimální povolenou velikost klíče pro použití s trezory klíčů. Použití klíčů RSA s malými klíči není bezpečným postupem a nesplňuje mnoho oborových požadavků na certifikaci. | Audit, Odepřít, Zakázáno | 1.0.1 |
Protokoly prostředků ve spravovaném HSM služby Azure Key Vault by měly být povolené. | Pokud chcete znovu vytvořit záznamy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo když dojde k ohrožení sítě, můžete chtít auditovat povolením protokolů prostředků ve spravovaných HSM. Postupujte podle zde uvedených pokynů: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, zakázáno | 1.1.0 |
Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
Tajné kódy by měly mít nastavený typ obsahu. | Značka typu obsahu pomáhá identifikovat, jestli je tajným kódem heslo, připojovací řetězec atd. Různé tajné kódy mají různé požadavky na obměnu. Značka typu obsahu by měla být nastavena na tajné kódy. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud je tajný kód příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy pro obměně tajného kódu. Tajné kódy by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby ve dnech, po kterou může být tajný kód platný v rámci vašeho trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by neměly být aktivní déle než zadaný počet dnů. | Pokud jste tajné kódy vytvořili s datem aktivace nastaveným v budoucnu, musíte zajistit, aby vaše tajné kódy nebyly aktivní déle než zadaná doba trvání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Key Vault (objekty)
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
[Preview]: Certifikáty by měly vydávat některé ze zadaných neintegrovanou certifikační autoritou. | Spravujte požadavky organizace na dodržování předpisů zadáním vlastních nebo interních certifikačních autorit, které můžou vydávat certifikáty ve vašem trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
Certifikáty by měly být vydány zadanou integrovanou certifikační autoritou. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním integrovaných certifikačních autorit Azure, které můžou vydávat certifikáty ve vašem trezoru klíčů, jako je Digicert nebo GlobalSign. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty by měly být vydány zadanou neintegrovanou certifikační autoritou. | Spravujte požadavky organizace na dodržování předpisů zadáním jednoho vlastního nebo interního certifikačního úřadu, který může vydávat certifikáty ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.1 |
Certifikáty by měly mít zadané aktivační události akce životnosti. | Spravujte požadavky organizace na dodržování předpisů tím, že určíte, jestli se akce životnosti certifikátu aktivuje v určitém procentu jeho životnosti nebo v určitém počtu dnů před vypršením jeho platnosti. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
Platnost certifikátů by neměla vypršet do zadaného počtu dnů. | Spravujte certifikáty, jejichž platnost vyprší během zadaného počtu dnů, abyste měli jistotu, že má vaše organizace dostatek času na obměně certifikátu před vypršením platnosti. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.1 |
Certifikáty by měly používat povolené typy klíčů. | Správa požadavků organizace na dodržování předpisů omezením typů klíčů povolených pro certifikáty | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty používající kryptografii se třemi tečkami by měly mít povolené názvy křivek. | Umožňuje spravovat povolené názvy tří teček pro certifikáty ECC uložené v trezoru klíčů. Další informace najdete na adrese https://aka.ms/akvpolicy. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Certifikáty používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Spravujte požadavky organizace na dodržování předpisů zadáním minimální velikosti klíče pro certifikáty RSA uložené ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
Klíče by měly být podporovány modulem hardwarového zabezpečení (HSM). | HSM je modul hardwarového zabezpečení, který ukládá klíče. HSM poskytuje fyzickou vrstvu ochrany kryptografických klíčů. Kryptografický klíč nemůže opustit fyzický HSM, který poskytuje vyšší úroveň zabezpečení než softwarový klíč. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by měly být zadaným kryptografickým typem RSA nebo EC. | Některé aplikace vyžadují použití klíčů zálohovaných určitým kryptografickým typem. Vynucujte ve vašem prostředí konkrétní typ kryptografického klíče, RSA nebo EC. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by měly mít zásadu obměně, která zajistí, že se jejich rotace naplánuje během zadaného počtu dnů po vytvoření. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximálního počtu dnů po vytvoření klíče, dokud se nebude muset otočit. | Audit, zakázáno | 1.0.0 |
Klíče by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud je klíč příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy, která klíč otočí. Klíče by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby ve dnech, po kterou může být klíč platný v rámci trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče by neměly být aktivní delší než zadaný počet dnů. | Zadejte počet dní, po který má být klíč aktivní. Klíče, které se používají po delší dobu, zvyšují pravděpodobnost, že by útočník mohl klíč ohrozit. Dobrým postupem zabezpečení je zajistit, aby klíče nebyly aktivní déle než dva roky. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče používající kryptografii se třemi tečkami by měly mít zadané názvy křivek. | Klíče zálohované kryptografií se třemi tečkami můžou mít různé názvy křivek. Některé aplikace jsou kompatibilní pouze se specifickými klíči se třemi tečkami. Vynucujte typy tří teček klíče křivky, které je možné vytvořit ve vašem prostředí. | Audit, Odepřít, Zakázáno | 1.0.1 |
Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Nastavte minimální povolenou velikost klíče pro použití s trezory klíčů. Použití klíčů RSA s malými klíči není bezpečným postupem a nesplňuje mnoho oborových požadavků na certifikaci. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by měly mít nastavený typ obsahu. | Značka typu obsahu pomáhá identifikovat, jestli je tajným kódem heslo, připojovací řetězec atd. Různé tajné kódy mají různé požadavky na obměnu. Značka typu obsahu by měla být nastavena na tajné kódy. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by měly mít více než zadaný počet dní před vypršením platnosti. | Pokud je tajný kód příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy pro obměně tajného kódu. Tajné kódy by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby ve dnech, po kterou může být tajný kód platný v rámci vašeho trezoru klíčů. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné kódy by neměly být aktivní déle než zadaný počet dnů. | Pokud jste tajné kódy vytvořili s datem aktivace nastaveným v budoucnu, musíte zajistit, aby vaše tajné kódy nebyly aktivní déle než zadaná doba trvání. | Audit, Odepřít, Zakázáno | 1.0.1 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.