Definições internas do Azure Policy para o Key Vault
Esta página é um índice de definições de políticas internas do Azure Policy para o Key Vault. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Key Vault (serviço)
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: O HSM Gerenciado do Azure Key Vault deve desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu HSM Gerenciado do Azure Key Vault de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: O HSM Gerenciado do Azure Key Vault deve usar um link privado | O link privado fornece um modo de conectar o HSM Gerenciado do Azure Key Vault aos recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece uma proteção avançada contra exfiltração dos dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: os certificados devem ser emitidos por uma das autoridades de certificação não integrada especificada | Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação personalizadas ou internas que podem emitir certificados no cofre de chaves. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: Configure o HSM Gerenciado do Azure Key Vault para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu HSM Gerenciado do Azure Key Vault de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificar, Desabilitado | 2.0.0-preview |
[Versão prévia]: Configurar o HSM Gerenciado do Azure Key Vault com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para o HSM Gerenciado do Azure Key Vault, você poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
O HSM Gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão mal-intencionada de um HSM Gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um funcionário mal-intencionado na sua organização pode potencialmente excluir e limpar o HSM Gerenciado do Azure Key Vault. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM Gerenciado do Azure Key Vault de exclusão temporária. Ninguém dentro da sua organização nem a Microsoft poderá limpar o HSM Gerenciado do Azure Key Vault durante o período de retenção de exclusão temporária. | Audit, Deny, desabilitado | 1.0.0 |
O Azure Key Vault deve desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu cofre de chaves de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/akvprivatelink. | Audit, Deny, desabilitado | 1.1.0 |
O Azure Key Vault deve ter o firewall habilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, desabilitado | 3.2.1 |
O Azure Key Vault deve usar o modelo de permissão RBAC | Habilite o modelo de permissão RBAC em Key Vaults. Saiba mais em: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, desabilitado | 1.0.1 |
Os Azure Key Vaults devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Os certificados devem ser emitidos pela autoridade de certificação integrada especificada | Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação integradas do Azure que podem emitir certificados no cofre de chaves, como Digicert ou GlobalSign. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados devem ser emitidos pela autoridade de certificação não integrada especificada | Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação personalizadas ou internas que podem emitir certificados no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.1 |
Os certificados devem ter os gatilhos de ação de tempo de vida especificados | Gerenciar seus requisitos de conformidade organizacional especificando se uma ação de tempo de vida do certificado é disparada em um percentual específico do tempo de vida ou em um determinado número de dias antes da expiração. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados devem ter o período máximo de validade especificado | Gerenciar seus requisitos de conformidade organizacional especificando o período de tempo máximo em que um certificado permanece válido no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.2.1 |
Os certificados não devem expirar após o número de dias especificado | Gerenciar os certificados que expirarão após um número especificado de dias para verificar se a organização tem tempo suficiente para mudar de certificado antes da expiração. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.1 |
Os certificados devem usar os tipos de chave permitidos | Gerenciar seus requisitos de conformidade organizacional restringindo os tipos de chave permitidos para certificados. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados que usam a criptografia de curva elíptica devem ter nomes de curva permitidos | Gerenciar os nomes de curva elíptica permitidos para os Certificados ECC armazenados no cofre de chaves. Mais informações podem ser encontradas em https://aka.ms/akvpolicy. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados que usam a criptografia RSA devem ter o tamanho mínimo de chave especificado | Gerenciar seus requisitos de conformidade organizacional especificando um tamanho mínimo de chave para os certificados RSA armazenados no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Configurar os Azure Key Vaults com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desabilitado | 1.0.1 |
Configurar cofres de chaves para habilitar o firewall | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Em seguida, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificar, Desabilitado | 1.1.1 |
Implantar – defina as configurações de diagnóstico do Azure Key Vault no workspace do Log Analytics | Implanta as configurações de diagnóstico do Azure Key Vault para transmitir logs de recursos para um workspace do Log Analytics quando qualquer Key Vault que não tenha essas configurações de diagnóstico for criado ou atualizado. | DeployIfNotExists, desabilitado | 2.0.1 |
Implantar – Defina as configurações de diagnóstico em um workspace do Log Analytics a ser habilitado no HSM gerenciado pelo Azure Key Vault | Implanta as configurações de diagnóstico do HSM Gerenciado pelo Azure Key Vault a serem transmitidas para um workspace do Log Analytics regional quando qualquer HSM Gerenciado pelo Azure Key Vault, que não tenha essas configurações de diagnóstico, é criado ou atualizado. | DeployIfNotExists, desabilitado | 1.0.0 |
Implantar – Defina as configurações de diagnóstico para um Hub de Eventos a ser habilitado no HSM Gerenciado do Azure Key Vault | Implanta as configurações de diagnóstico do HSM Gerenciado do Azure Key Vault que serão transmitidas para um Hub de Eventos regional quando qualquer HSM Gerenciado do Azure Key Vault que não tenha essas configurações de diagnóstico for criado ou atualizado. | DeployIfNotExists, desabilitado | 1.0.0 |
Aplicar as Configurações de Diagnóstico do Key Vault no Hub de Eventos | Implanta as configurações de diagnóstico do Key Vault a serem transmitidas para um Hub de Eventos regional em qualquer Key Vault criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 3.0.1 |
Implantar as configurações de diagnóstico do Key Vault no workspace do Log Analytics | Implanta as configurações de diagnóstico do Key Vault a serem transmitidas para um workspace do Log Analytics regional em qualquer Key Vault criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 3.0.0 |
Habilitar o registro em log por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Cofres de Chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para cofres de chaves (microsoft.keyvault/vaults) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para HSMs Gerenciados (microsoft.keyvault/managedhsms) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para HSMs Gerenciados (microsoft.keyvault/managedhsms) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para HSMs Gerenciados (microsoft.keyvault/managedhsms) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
As chaves do Key Vault devem ter uma data de validade | As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. | Audit, Deny, desabilitado | 1.0.2 |
Os segredos do Key Vault devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. | Audit, Deny, desabilitado | 1.0.2 |
O Key Vault deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
Os cofres de chaves devem ter a proteção contra exclusão habilitada | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
As chaves devem contar com o suporte de um HSM (módulo de segurança de hardware) | Um HSM é um módulo de segurança de hardware que armazena chaves. Um HSM fornece uma camada física de proteção para chaves de criptografia. A chave de criptografia não pode sair de um HSM físico, o que fornece um nível maior de segurança do que uma chave de software. | Audit, Deny, desabilitado | 1.0.1 |
As chaves devem ser do tipo de criptografia especificado, RSA ou EC | Alguns aplicativos exigem o uso de chaves com suporte de um tipo de criptografia específico. Imponha um tipo de chave de criptografia específico, RSA ou EC, em seu ambiente. | Audit, Deny, desabilitado | 1.0.1 |
As chaves devem ter uma política de rotação garantindo que sua rotação seja agendada dentro do número especificado de dias após a criação. | Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias necessários para a rotação da chave após a criação. | Audit, desabilitado | 1.0.0 |
As chaves devem ter um número maior de dias do que o especificado até a validade | Se uma chave estiver muito próxima da validade, um atraso organizacional para fazer a rotação da chave poderá resultar em uma interrupção. A rotação das chaves deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. | Audit, Deny, desabilitado | 1.0.1 |
As chaves devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando o período máximo em dias de validade de uma chave no cofre de chaves. | Audit, Deny, desabilitado | 1.0.1 |
As chaves não devem ficar ativas por mais tempo do que o número de dias especificado | Especifique o número de dias pelos quais uma chave deve estar ativa. As chaves usadas por um longo período de tempo aumentam a probabilidade de um invasor comprometer a chave. Como uma boa prática de segurança, verifique se suas chaves não estão ativas por mais de dois anos. | Audit, Deny, desabilitado | 1.0.1 |
As chaves que usam a criptografia de curva elíptica devem ter os nomes de curva permitidos | As chaves com suporte da criptografia de curva elíptica podem ter nomes de curva diferentes. Alguns aplicativos são compatíveis apenas com chaves de curva elíptica específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. | Audit, Deny, desabilitado | 1.0.1 |
As chaves que usam a criptografia RSA devem ter o tamanho mínimo da chave especificado | Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a vários requisitos de certificação do setor. | Audit, Deny, desabilitado | 1.0.1 |
Os logs de recursos do HSM Gerenciado pelo Azure Key Vault devem estar habilitados | Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando a sua rede estiver comprometida, audite habilitando logs de recursos em HSMs gerenciados. Siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, desabilitado | 1.1.0 |
Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os segredos devem ter o tipo de conteúdo definido | Uma marca de tipo de conteúdo ajuda a identificar se um segredo é uma senha, uma cadeia de conexão etc. Segredos diferentes têm requisitos de rotação diferentes. A marca de tipo de conteúdo deve ser definida nos segredos. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos devem ter um número maior de dias do que o especificado até a validade | Se um segredo estiver muito próximo da validade, um atraso organizacional para fazer a rotação do segredo poderá resultar em uma interrupção. A rotação dos segredos deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando o período máximo em dias de validade de um segredo no cofre de chaves. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos não devem ficar ativos por mais tempo do que o número de dias especificado | Se os seus segredos foram criados com uma data de ativação futura definida, verifique se eles não estão ativos há mais tempo do que a duração especificada. | Audit, Deny, desabilitado | 1.0.1 |
Key Vault (objetos)
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: os certificados devem ser emitidos por uma das autoridades de certificação não integrada especificada | Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação personalizadas ou internas que podem emitir certificados no cofre de chaves. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
Os certificados devem ser emitidos pela autoridade de certificação integrada especificada | Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação integradas do Azure que podem emitir certificados no cofre de chaves, como Digicert ou GlobalSign. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados devem ser emitidos pela autoridade de certificação não integrada especificada | Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação personalizadas ou internas que podem emitir certificados no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.1 |
Os certificados devem ter os gatilhos de ação de tempo de vida especificados | Gerenciar seus requisitos de conformidade organizacional especificando se uma ação de tempo de vida do certificado é disparada em um percentual específico do tempo de vida ou em um determinado número de dias antes da expiração. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados devem ter o período máximo de validade especificado | Gerenciar seus requisitos de conformidade organizacional especificando o período de tempo máximo em que um certificado permanece válido no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.2.1 |
Os certificados não devem expirar após o número de dias especificado | Gerenciar os certificados que expirarão após um número especificado de dias para verificar se a organização tem tempo suficiente para mudar de certificado antes da expiração. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.1 |
Os certificados devem usar os tipos de chave permitidos | Gerenciar seus requisitos de conformidade organizacional restringindo os tipos de chave permitidos para certificados. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados que usam a criptografia de curva elíptica devem ter nomes de curva permitidos | Gerenciar os nomes de curva elíptica permitidos para os Certificados ECC armazenados no cofre de chaves. Mais informações podem ser encontradas em https://aka.ms/akvpolicy. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
Os certificados que usam a criptografia RSA devem ter o tamanho mínimo de chave especificado | Gerenciar seus requisitos de conformidade organizacional especificando um tamanho mínimo de chave para os certificados RSA armazenados no cofre de chaves. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 2.1.0 |
As chaves do Key Vault devem ter uma data de validade | As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. | Audit, Deny, desabilitado | 1.0.2 |
Os segredos do Key Vault devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. | Audit, Deny, desabilitado | 1.0.2 |
As chaves devem contar com o suporte de um HSM (módulo de segurança de hardware) | Um HSM é um módulo de segurança de hardware que armazena chaves. Um HSM fornece uma camada física de proteção para chaves de criptografia. A chave de criptografia não pode sair de um HSM físico, o que fornece um nível maior de segurança do que uma chave de software. | Audit, Deny, desabilitado | 1.0.1 |
As chaves devem ser do tipo de criptografia especificado, RSA ou EC | Alguns aplicativos exigem o uso de chaves com suporte de um tipo de criptografia específico. Imponha um tipo de chave de criptografia específico, RSA ou EC, em seu ambiente. | Audit, Deny, desabilitado | 1.0.1 |
As chaves devem ter uma política de rotação garantindo que sua rotação seja agendada dentro do número especificado de dias após a criação. | Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias necessários para a rotação da chave após a criação. | Audit, desabilitado | 1.0.0 |
As chaves devem ter um número maior de dias do que o especificado até a validade | Se uma chave estiver muito próxima da validade, um atraso organizacional para fazer a rotação da chave poderá resultar em uma interrupção. A rotação das chaves deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. | Audit, Deny, desabilitado | 1.0.1 |
As chaves devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando o período máximo em dias de validade de uma chave no cofre de chaves. | Audit, Deny, desabilitado | 1.0.1 |
As chaves não devem ficar ativas por mais tempo do que o número de dias especificado | Especifique o número de dias pelos quais uma chave deve estar ativa. As chaves usadas por um longo período de tempo aumentam a probabilidade de um invasor comprometer a chave. Como uma boa prática de segurança, verifique se suas chaves não estão ativas por mais de dois anos. | Audit, Deny, desabilitado | 1.0.1 |
As chaves que usam a criptografia de curva elíptica devem ter os nomes de curva permitidos | As chaves com suporte da criptografia de curva elíptica podem ter nomes de curva diferentes. Alguns aplicativos são compatíveis apenas com chaves de curva elíptica específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. | Audit, Deny, desabilitado | 1.0.1 |
As chaves que usam a criptografia RSA devem ter o tamanho mínimo da chave especificado | Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a vários requisitos de certificação do setor. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos devem ter o tipo de conteúdo definido | Uma marca de tipo de conteúdo ajuda a identificar se um segredo é uma senha, uma cadeia de conexão etc. Segredos diferentes têm requisitos de rotação diferentes. A marca de tipo de conteúdo deve ser definida nos segredos. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos devem ter um número maior de dias do que o especificado até a validade | Se um segredo estiver muito próximo da validade, um atraso organizacional para fazer a rotação do segredo poderá resultar em uma interrupção. A rotação dos segredos deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando o período máximo em dias de validade de um segredo no cofre de chaves. | Audit, Deny, desabilitado | 1.0.1 |
Os segredos não devem ficar ativos por mais tempo do que o número de dias especificado | Se os seus segredos foram criados com uma data de ativação futura definida, verifique se eles não estão ativos há mais tempo do que a duração especificada. | Audit, Deny, desabilitado | 1.0.1 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.