Další doporučení ke standardním hodnotám zabezpečení

  • 8 min

Měli byste postupovat podle několika dalších doporučení zabezpečení k nastavení obecných bezpečnostních a provozních kontrolních mechanismů ve vašem předplatném Azure.

Další doporučení zabezpečení

Následující části popisují další doporučení týkající se srovnávacího testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení. Mějte na paměti, že možnosti na úrovni 2 můžou omezovat některé funkce nebo aktivity, takže pečlivě zvažte, které možnosti zabezpečení budete nakonec vynucovat.

Nastavení data vypršení platnosti u všech klíčů ve službě Azure Key Vault – úroveň 1

Kromě klíče se můžou pro klíč ve službě Azure Key Vault zadat následující atributy. V požadavku JSON se vyžaduje klíčové slovo atributu a složené závorky { } , i když není zadaný žádný atribut. Například pro volitelný IntDate atribut je forevervýchozí hodnota . Atribut exp (čas vypršení platnosti) identifikuje dobu vypršení platnosti, po které se klíč nesmí používat pro kryptografickou operaci, s výjimkou určitých typů operací za určitých podmínek. Zpracování atributu exp vyžaduje, aby aktuální datum a čas byly před datem a časem vypršení platnosti nastaveným v hodnotě exp .

Doporučujeme obměňovat klíče v trezoru klíčů a nastavit pro každý klíč explicitní dobu vypršení platnosti. Tento proces zajistí, že klíče nebudou možné používat po dobu jejich přiřazených životností. Key Vault ukládá a spravuje tajné kódy jako posloupnosti 8bitových bajtů nazývaných oktety, přičemž každý klíč má maximální velikost 25 kB. U vysoce citlivých dat by klienti měli zvážit více vrstev ochrany dat. Jedním z příkladů je šifrování dat pomocí samostatného klíče ochrany před uložením ve službě Key Vault. Proveďte následující kroky pro všechny klíče v každém trezoru klíčů.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte trezory klíčů.

  2. Vyberte trezor klíčů.

  3. V nabídce vlevo v části Objekty vyberte Klíče.

  4. V podokně Klíče trezoru klíčů se ujistěte, že každý klíč v trezoru má nastavené datum vypršení platnosti podle potřeby.

  5. Pokud změníte jakékoli nastavení, vyberte v řádku nabídek možnost Uložit .

Nastavení data vypršení platnosti u všech tajných kódů ve službě Azure Key Vault – úroveň 1

Tokeny, hesla, certifikáty, klíče rozhraní API a další tajné klíče je třeba bezpečně ukládat a důsledně k nim kontrolovat přístup. Ujistěte se, že je nastavená doba vypršení platnosti pro všechny tajné kódy ve službě Azure Key Vault. Proveďte následující kroky pro všechny tajné kódy v každém trezoru klíčů.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte trezory klíčů.

  2. V nabídce vlevo v části Objekty vyberte Tajné kódy.

  3. V podokně Tajné kódy trezoru klíčů se ujistěte, že každý tajný klíč v trezoru má nastavené datum vypršení platnosti podle potřeby.

    Následující snímek obrazovky znázorňuje nastavení data vypršení platnosti hesla:

    Snímek obrazovky, který ukazuje, jak nastavit datum vypršení platnosti tajného klíče trezoru klíčů

  4. Pokud změníte jakékoli nastavení, vyberte v řádku nabídek možnost Uložit .

Nastavení zámků u klíčových prostředků Azure – úroveň 2

Jako správce možná budete muset uzamknout předplatné, skupinu prostředků nebo prostředek, aby ostatní uživatelé omylem odstranili nebo upravili kritický prostředek. Na webu Azure Portal jsou úrovně zámků jen pro čtení a odstranění. Na rozdíl od řízení přístupu na základě role použijete zámky správy k použití omezení pro všechny uživatele a role. Zámky Azure Resource Manageru se vztahují pouze na operace, ke kterým dochází v rovině správy, která se skládá z operací odesílaných do https://management.azure.com. Tyto zámky nijak neomezují, jak prostředky vykonávají své vlastní funkce. Omezené jsou změny prostředků, ale ne jejich operace.

Tip

Zámek instance služby Azure SQL Database například Read-only brání v odstranění nebo úpravě databáze. Nebrání ve vytváření, aktualizování nebo odstraňování dat v databázi. Datové transakce jsou povolené, protože tyto operace se neodesílají na https://management.azure.com.

Pro všechny důležité prostředky ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Všechny prostředky.

  2. Vyberte prostředek, skupinu prostředků nebo předplatné, které chcete uzamknout.

  3. V nabídce v části Nastavení vyberte Zámky.

  4. V podokně Zámky na řádku nabídek vyberte Přidat.

  5. V podokně Přidat zámek zadejte název zámku a vyberte úroveň zámku. Volitelně můžete přidat poznámky s jeho popisem.

  6. Vyberte OK.

Snímek obrazovky znázorňující, jak uzamknout prostředek na webu Azure Portal