Wbudowane definicje usługi Azure Policy dla usługi Key Vault
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Key Vault. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Key Vault (usługa)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Zarządzany moduł HSM usługi Azure Key Vault powinien wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zarządzanego modułu HSM usługi Azure Key Vault, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Zarządzany moduł HSM usługi Azure Key Vault powinien używać łącza prywatnego | Usługa Private Link umożliwia łączenie zarządzanego modułu HSM usługi Azure Key Vault z zasobami platformy Azure bez wysyłania ruchu przez publiczny Internet. Usługa Private Link zapewnia ochronę w głębi systemu ochrony przed eksfiltracją danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Inspekcja, wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Certyfikaty powinny być wystawiane przez jeden z określonych niezintegrowanych urzędów certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając niestandardowe lub wewnętrzne urzędy certyfikacji, które mogą wystawiać certyfikaty w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie zarządzanego modułu HSM usługi Azure Key Vault w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zarządzanego modułu HSM usługi Azure Key Vault, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modyfikowanie, wyłączone | 2.0.0-preview |
[Wersja zapoznawcza]: Konfigurowanie zarządzanego modułu HSM usługi Azure Key Vault z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na zarządzany moduł HSM usługi Azure Key Vault, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
Zarządzany moduł HSM usługi Azure Key Vault powinien mieć włączoną ochronę przed przeczyszczeniem | Złośliwe usunięcie zarządzanego modułu HSM usługi Azure Key Vault może prowadzić do trwałej utraty danych. Złośliwy tester w organizacji może potencjalnie usunąć i przeczyścić zarządzany moduł HSM usługi Azure Key Vault. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałego zarządzanego modułu HSM usługi Azure Key Vault. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić zarządzanego modułu HSM usługi Azure Key Vault w okresie przechowywania usuwania nietrwałego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Usługa Azure Key Vault powinna wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/akvprivatelink. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 3.2.1 |
Usługa Azure Key Vault powinna używać modelu uprawnień RBAC | Włącz model uprawnień RBAC w usłudze Key Vault. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Certyfikaty powinny być wystawiane przez określony zintegrowany urząd certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając zintegrowane urzędy certyfikacji platformy Azure, które mogą wystawiać certyfikaty w magazynie kluczy, takie jak Digicert lub GlobalSign. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty powinny być wystawiane przez określony niezintegowany urząd certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając jeden niestandardowy lub wewnętrzny urząd certyfikacji, który może wystawiać certyfikaty w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.1 |
Certyfikaty powinny mieć określone wyzwalacze akcji okresu istnienia | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając, czy akcja okresu istnienia certyfikatu jest wyzwalana w określonym procentze jego okresu istnienia, czy na określoną liczbę dni przed jego wygaśnięciem. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.2.1 |
Certyfikaty nie powinny wygasać w ciągu określonej liczby dni | Zarządzaj certyfikatami, które wygasną w ciągu określonej liczby dni, aby zapewnić organizacji wystarczający czas na wymianę certyfikatu przed wygaśnięciem. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.1 |
Certyfikaty powinny używać dozwolonych typów kluczy | Zarządzanie wymaganiami dotyczącymi zgodności organizacji przez ograniczenie typów kluczy dozwolonych dla certyfikatów. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty używające kryptografii krzywej eliptycznej powinny mieć dozwolone nazwy krzywych | Zarządzaj dozwolonymi nazwami krzywych eliptycznych dla certyfikatów ECC przechowywanych w magazynie kluczy. Więcej informacji można znaleźć na stronie https://aka.ms/akvpolicy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając minimalny rozmiar klucza dla certyfikatów RSA przechowywanych w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Konfigurowanie usługi Azure Key Vault z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurowanie magazynów kluczy w celu włączenia zapory | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Następnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Modyfikowanie, wyłączone | 1.1.1 |
Wdrażanie — konfigurowanie ustawień diagnostycznych dla usługi Azure Key Vault w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne usługi Azure Key Vault w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego magazynu kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 2.0.1 |
Wdrażanie — konfigurowanie ustawień diagnostycznych w obszarze roboczym usługi Log Analytics, który ma być włączony w zarządzanym module HSM usługi Azure Key Vault | Wdraża ustawienia diagnostyczne zarządzanego modułu HSM usługi Azure Key Vault w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego zarządzanego modułu HSM usługi Azure Key Vault, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.0 |
Wdrażanie — konfigurowanie ustawień diagnostycznych w centrum zdarzeń, które ma być włączone w zarządzanym module HSM usługi Azure Key Vault | Wdraża ustawienia diagnostyczne zarządzanego modułu HSM usługi Azure Key Vault w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy w dowolnym zarządzanym module HSM usługi Azure Key Vault brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
Wdrażanie ustawień diagnostycznych usługi Key Vault w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Key Vault, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w dowolnym magazynie kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 3.0.1 |
Wdrażanie ustawień diagnostycznych usługi Key Vault w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Key Vault w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego magazynu kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 3.0.0 |
Włączanie rejestrowania według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) w centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla magazynów kluczy (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Włączanie rejestrowania według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla magazynów kluczy (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla magazynów kluczy (microsoft.keyvault/vaults) w usłudze Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla magazynów kluczy (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Włączanie rejestrowania według grupy kategorii dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Włączanie rejestrowania według grupy kategorii dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms) do magazynu | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla zarządzanych modułów HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Usługa Key Vault powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy usługa Key Vault nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
Klucze powinny być wspierane przez sprzętowy moduł zabezpieczeń (HSM) | Moduł HSM to sprzętowy moduł zabezpieczeń, który przechowuje klucze. Moduł HSM zapewnia fizyczną warstwę ochrony kluczy kryptograficznych. Klucz kryptograficzny nie może pozostawić fizycznego modułu HSM, który zapewnia wyższy poziom zabezpieczeń niż klucz oprogramowania. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze powinny być określonym typem kryptograficznym RSA lub EC | Niektóre aplikacje wymagają użycia kluczy wspieranych przez określony typ kryptograficzny. Wymuszanie określonego typu klucza kryptograficznego, RSA lub EC w środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze powinny mieć zasady rotacji zapewniające, że ich rotacja jest zaplanowana w ciągu określonej liczby dni po utworzeniu. | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalną liczbę dni po utworzeniu klucza do czasu jego rotacji. | Inspekcja, wyłączone | 1.0.0 |
Klucze powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli klucz jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji klucza może spowodować awarię. Klucze powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który klucz może być prawidłowy w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze nie powinny być aktywne dłużej niż określona liczba dni | Określ liczbę dni, w których klucz powinien być aktywny. Klucze używane przez dłuższy czas zwiększają prawdopodobieństwo, że osoba atakująca może naruszyć klucz. Dobrym rozwiązaniem w zakresie zabezpieczeń jest upewnienie się, że twoje klucze nie były aktywne dłużej niż dwa lata. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze używające kryptografii krzywej eliptycznej powinny mieć określone nazwy krzywej | Klucze wspierane przez kryptografię krzywej eliptycznej mogą mieć różne nazwy krzywej. Niektóre aplikacje są zgodne tylko z określonymi wielokropowymi kluczami krzywej. Wymuś typy wielokroptycznych kluczy krzywych, które mogą być tworzone w danym środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Ustaw minimalny dozwolony rozmiar klucza do użycia z magazynami kluczy. Użycie kluczy RSA o małych rozmiarach kluczy nie jest bezpieczną praktyką i nie spełnia wielu wymagań dotyczących certyfikacji w branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Dzienniki zasobów w zarządzanym module HSM usługi Azure Key Vault powinny być włączone | Aby ponownie utworzyć ślady aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci, możesz chcieć przeprowadzić inspekcję, włączając dzienniki zasobów w zarządzanych modułach HSM. Postępuj zgodnie z instrukcjami w tym miejscu: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Wpisy tajne powinny mieć ustawiony typ zawartości | Tag typu zawartości pomaga określić, czy wpis tajny jest hasłem, parametry połączenia itp. Różne wpisy tajne mają różne wymagania dotyczące rotacji. Tag typu zawartości powinien być ustawiony dla wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli wpis tajny jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji wpisu tajnego może spowodować awarię. Wpisy tajne powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który wpis tajny może być prawidłowy w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne nie powinny być aktywne dłużej niż określona liczba dni | Jeśli wpisy tajne zostały utworzone z datą aktywacji ustawioną w przyszłości, musisz upewnić się, że wpisy tajne nie były aktywne przez dłuższy niż określony czas trwania. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Key Vault (obiekty)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Certyfikaty powinny być wystawiane przez jeden z określonych niezintegrowanych urzędów certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając niestandardowe lub wewnętrzne urzędy certyfikacji, które mogą wystawiać certyfikaty w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
Certyfikaty powinny być wystawiane przez określony zintegrowany urząd certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając zintegrowane urzędy certyfikacji platformy Azure, które mogą wystawiać certyfikaty w magazynie kluczy, takie jak Digicert lub GlobalSign. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty powinny być wystawiane przez określony niezintegowany urząd certyfikacji | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając jeden niestandardowy lub wewnętrzny urząd certyfikacji, który może wystawiać certyfikaty w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.1 |
Certyfikaty powinny mieć określone wyzwalacze akcji okresu istnienia | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając, czy akcja okresu istnienia certyfikatu jest wyzwalana w określonym procentze jego okresu istnienia, czy na określoną liczbę dni przed jego wygaśnięciem. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.2.1 |
Certyfikaty nie powinny wygasać w ciągu określonej liczby dni | Zarządzaj certyfikatami, które wygasną w ciągu określonej liczby dni, aby zapewnić organizacji wystarczający czas na wymianę certyfikatu przed wygaśnięciem. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.1 |
Certyfikaty powinny używać dozwolonych typów kluczy | Zarządzanie wymaganiami dotyczącymi zgodności organizacji przez ograniczenie typów kluczy dozwolonych dla certyfikatów. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty używające kryptografii krzywej eliptycznej powinny mieć dozwolone nazwy krzywych | Zarządzaj dozwolonymi nazwami krzywych eliptycznych dla certyfikatów ECC przechowywanych w magazynie kluczy. Więcej informacji można znaleźć na stronie https://aka.ms/akvpolicy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Certyfikaty korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając minimalny rozmiar klucza dla certyfikatów RSA przechowywanych w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.1.0 |
Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Klucze powinny być wspierane przez sprzętowy moduł zabezpieczeń (HSM) | Moduł HSM to sprzętowy moduł zabezpieczeń, który przechowuje klucze. Moduł HSM zapewnia fizyczną warstwę ochrony kluczy kryptograficznych. Klucz kryptograficzny nie może pozostawić fizycznego modułu HSM, który zapewnia wyższy poziom zabezpieczeń niż klucz oprogramowania. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze powinny być określonym typem kryptograficznym RSA lub EC | Niektóre aplikacje wymagają użycia kluczy wspieranych przez określony typ kryptograficzny. Wymuszanie określonego typu klucza kryptograficznego, RSA lub EC w środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze powinny mieć zasady rotacji zapewniające, że ich rotacja jest zaplanowana w ciągu określonej liczby dni po utworzeniu. | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalną liczbę dni po utworzeniu klucza do czasu jego rotacji. | Inspekcja, wyłączone | 1.0.0 |
Klucze powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli klucz jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji klucza może spowodować awarię. Klucze powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który klucz może być prawidłowy w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze nie powinny być aktywne dłużej niż określona liczba dni | Określ liczbę dni, w których klucz powinien być aktywny. Klucze używane przez dłuższy czas zwiększają prawdopodobieństwo, że osoba atakująca może naruszyć klucz. Dobrym rozwiązaniem w zakresie zabezpieczeń jest upewnienie się, że twoje klucze nie były aktywne dłużej niż dwa lata. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze używające kryptografii krzywej eliptycznej powinny mieć określone nazwy krzywej | Klucze wspierane przez kryptografię krzywej eliptycznej mogą mieć różne nazwy krzywej. Niektóre aplikacje są zgodne tylko z określonymi wielokropowymi kluczami krzywej. Wymuś typy wielokroptycznych kluczy krzywych, które mogą być tworzone w danym środowisku. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klucze korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza | Ustaw minimalny dozwolony rozmiar klucza do użycia z magazynami kluczy. Użycie kluczy RSA o małych rozmiarach kluczy nie jest bezpieczną praktyką i nie spełnia wielu wymagań dotyczących certyfikacji w branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne powinny mieć ustawiony typ zawartości | Tag typu zawartości pomaga określić, czy wpis tajny jest hasłem, parametry połączenia itp. Różne wpisy tajne mają różne wymagania dotyczące rotacji. Tag typu zawartości powinien być ustawiony dla wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli wpis tajny jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji wpisu tajnego może spowodować awarię. Wpisy tajne powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który wpis tajny może być prawidłowy w magazynie kluczy. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Wpisy tajne nie powinny być aktywne dłużej niż określona liczba dni | Jeśli wpisy tajne zostały utworzone z datą aktywacji ustawioną w przyszłości, musisz upewnić się, że wpisy tajne nie były aktywne przez dłuższy niż określony czas trwania. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.