Beépített Azure Policy-definíciók a Key Vaulthoz
Ez a lap a Key Vault beépített Azure Policy-szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Key Vault (szolgáltatás)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM-nek le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le a nyilvános hálózati hozzáférést az Azure Key Vault által felügyelt HSM-hez, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM-nek privát hivatkozást kell használnia | A privát kapcsolat lehetővé teszi az Azure Key Vault által felügyelt HSM azure-erőforrásokhoz való csatlakoztatását anélkül, hogy a forgalmat a nyilvános interneten keresztül küldené el. A privát kapcsolat mélységi védelmet nyújt az adatszivárgás ellen. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tanúsítványokat a megadott, nem integrált hitelesítésszolgáltatók egyikének kell kiállítania | A szervezeti megfelelőségi követelmények kezelése egyéni vagy belső hitelesítésszolgáltatók megadásával, amelyek tanúsítványokat állíthatnak ki a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az Azure Key Vault által felügyelt HSM-hez, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Módosítás, letiltva | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Key Vault által felügyelt HSM-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Az Azure Key Vault felügyelt HSM-nek engedélyeznie kell a törlés elleni védelmet | Az Azure Key Vault által felügyelt HSM rosszindulatú törlése állandó adatvesztéshez vezethet. A szervezet rosszindulatú bennfentesei törölhetik és törölhetik az Azure Key Vault által felügyelt HSM-et. A törlés elleni védelem a helyreállíthatóan törölt Azure Key Vault felügyelt HSM kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki nem fogja tudni törölni az Azure Key Vault által felügyelt HSM-et. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Key Vaultnak le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le a kulcstartó nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/akvprivatelink. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultnak RBAC-engedélymodellt kell használnia | Engedélyezze az RBAC engedélymodellt a Key Vaultokban. További információ: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| A tanúsítványokat a megadott integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adja meg az azure-beli integrált hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban, például a Digicertben vagy a GlobalSignben. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványokat a megadott nem integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adjon meg egy egyéni vagy belső hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.1 |
| A tanúsítványoknak rendelkezniük kell a megadott élettartam-műveletindítókkal | A szervezeti megfelelőségi követelmények kezeléséhez adja meg, hogy a tanúsítvány élettartam-művelete az élettartam meghatározott százalékában vagy a lejárata előtt bizonyos számú napon aktiválódik-e. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A tanúsítványok nem járnak le a megadott számú napon belül | A megadott számú napon belül lejáró tanúsítványok kezelése annak biztosítása érdekében, hogy a szervezetnek elegendő ideje legyen a tanúsítvány lejárat előtti elforgatására. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.1 |
| A tanúsítványoknak engedélyezett kulcstípusokat kell használniuk | A tanúsítványokhoz engedélyezett kulcstípusok korlátozásával kezelheti a szervezeti megfelelőségi követelményeket. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A háromliptikus görbe titkosítását használó tanúsítványoknak engedélyezett görbenevekkel kell rendelkezniük | A kulcstartóban tárolt ECC-tanúsítványok engedélyezett háromliptikus görbeneveinek kezelése. További információt a következő címen https://aka.ms/akvpolicytalál: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Az RSA titkosítást használó tanúsítványoknak meg kell adni a minimális kulcsméretet | A szervezeti megfelelőségi követelmények kezelése a kulcstartóban tárolt RSA-tanúsítványok minimális kulcsméretének megadásával. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Azure Key Vaultok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Kulcstartók konfigurálása a tűzfal engedélyezéséhez | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Ezután konfigurálhat meghatározott IP-tartományokat a hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Módosítás, letiltva | 1.1.1 |
| Üzembe helyezés – Az Azure Key Vault diagnosztikai beállításainak konfigurálása a Log Analytics-munkaterületre | Üzembe helyezi az Azure Key Vault diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Kulcstartók létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.0.1 |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása Log Analytics-munkaterületre az Azure Key Vault felügyelt HSM-en való engedélyezéséhez | Üzembe helyezi az Azure Key Vault felügyelt HSM diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Azure Key Vault felügyelt HSM-et létrehozza vagy frissíti. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása event hubra, hogy engedélyezve legyen az Azure Key Vault által felügyelt HSM-en | Üzembe helyezi az Azure Key Vault által felügyelt HSM diagnosztikai beállításait, hogy egy regionális eseményközpontba streameljen, amikor a diagnosztikai beállításokat hiányzó Azure Key Vault által felügyelt HSM létrejön vagy frissül. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Key Vaulthoz az Event Hubon | A Key Vault diagnosztikai beállításainak üzembe helyezése egy regionális eseményközpontba való streameléshez, ha a diagnosztikai beállításokat hiányzó Key Vault létrejön vagy frissül. | DeployIfNotExists, Disabled | 3.0.1 |
| Diagnosztikai Gépház üzembe helyezése a Key Vaulthoz a Log Analytics-munkaterületen | Üzembe helyezi a Key Vault diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Key Vault létrejön vagy frissül. | DeployIfNotExists, Disabled | 3.0.0 |
| A kulcstartók (microsoft.keyvault/vaultok) kategóriánkénti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kulcstartókhoz készült Event Hubba (microsoft.keyvault/vaults) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként a Kulcstartókhoz (microsoft.keyvault/vaults) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók key vaultokhoz (microsoft.keyvault/vaults) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A kulcstartók (microsoft.keyvault/vaultok) kategóriánkénti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kulcstartókhoz készült tárfiókba (microsoft.keyvault/vaults) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt HSM-ekhez (microsoft.keyvault/managedhsms) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók felügyelt HSM-ek (microsoft.keyvault/managedhsms) eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt HSM-ekhez (microsoft.keyvault/managedhsms) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók felügyelt HSM-ek (microsoft.keyvault/managedhsms) Log Analytics-munkaterületére való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt HSM-ekhez (microsoft.keyvault/managedhsms) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók felügyelt HSM-ekhez készült tárfiókba (microsoft.keyvault/managedhsms) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vaultnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Key Vaultot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A kulcsokat hardveres biztonsági modulnak (HSM) kell biztonsági másolatot létrehoznia | A HSM egy hardveres biztonsági modul, amely kulcsokat tárol. A HSM fizikai védelmi réteget biztosít a titkosítási kulcsokhoz. A titkosítási kulcs nem hagyhatja el a fizikai HSM-et, amely nagyobb biztonságot nyújt, mint egy szoftverkulcs. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsnak a megadott RSA vagy EC titkosítási típusnak kell lennie | Egyes alkalmazásokhoz egy adott titkosítási típus által támogatott kulcsok használata szükséges. Kényszerítsen ki egy adott titkosítási kulcstípust (RSA vagy EC) a környezetben. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsoknak rotációs szabályzattal kell rendelkezniük, amely biztosítja, hogy a forgatás a létrehozást követő megadott számú napon belül legyen ütemezve. | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a kulcslétrehozás utáni napok maximális számát, amíg el nem kell forgatni. | Naplózás, letiltva | 1.0.0 |
| A kulcsoknak többnek kell lennie a megadott számú napnál a lejárat előtt | Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő legyen a hibákra való reagálásra. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a kulcsok érvényességének maximális időtartamát a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Adja meg, hogy egy kulcs hány napig legyen aktív. A hosszabb ideig használt kulcsok növelik annak valószínűségét, hogy egy támadó feltörheti a kulcsot. Jó biztonsági gyakorlatként győződjön meg arról, hogy a kulcsok nem voltak aktívak két évnél tovább. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük | A háromliptikus görbék titkosítása által támogatott kulcsok eltérő görbenevekkel rendelkezhetnek. Egyes alkalmazások csak adott háromliptikus görbekulcsokkal kompatibilisek. Kényszerítse ki azokat a háromliptikus görbekulcsokat, amelyek a környezetben hozhatók létre. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az RSA titkosítást használó kulcsoknak meg kell adni a minimális kulcsméretet | Állítsa be a kulcstartókhoz használható minimálisan engedélyezett kulcsméretet. A kis kulcsméretű RSA-kulcsok használata nem biztonságos eljárás, és nem felel meg számos iparági minősítési követelménynek. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Key Vault felügyelt HSM-ben | A tevékenységnaplók vizsgálati célokra való ismételt létrehozásához biztonsági incidens esetén vagy a hálózat feltörésekor érdemes lehet naplózni az erőforrásnaplók felügyelt HSM-eken való engedélyezésével. Kövesse a következő utasításokat: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A titkos kulcsoknak tartalomtípus-készlettel kell rendelkezniük | A tartalomtípus címkéje segít megállapítani, hogy a titkos kulcs jelszó-e, kapcsolati sztring stb. A különböző titkos kódok eltérő rotációs követelményekkel rendelkeznek. A tartalomtípus címkéjét titkos kódokra kell beállítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódoknak a megadott számú napnál többnek kell lennie a lejárat előtt | Ha egy titkos kód túl közel van a lejárathoz, a titkos kód forgatásának szervezeti késleltetése kimaradáshoz vezethet. A titkos kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő adva legyen a hibákra való reagáláshoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a titkos kulcsok érvényességének maximális időtartamát a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Ha a titkos kulcsokat a jövőben beállított aktiválási dátummal hozták létre, győződjön meg arról, hogy a titkos kulcsok nem voltak aktívak a megadott időtartamnál hosszabb ideig. | Naplózás, megtagadás, letiltva | 1.0.1 |
Key Vault (objektumok)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A tanúsítványokat a megadott, nem integrált hitelesítésszolgáltatók egyikének kell kiállítania | A szervezeti megfelelőségi követelmények kezelése egyéni vagy belső hitelesítésszolgáltatók megadásával, amelyek tanúsítványokat állíthatnak ki a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| A tanúsítványokat a megadott integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adja meg az azure-beli integrált hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban, például a Digicertben vagy a GlobalSignben. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványokat a megadott nem integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adjon meg egy egyéni vagy belső hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.1 |
| A tanúsítványoknak rendelkezniük kell a megadott élettartam-műveletindítókkal | A szervezeti megfelelőségi követelmények kezeléséhez adja meg, hogy a tanúsítvány élettartam-művelete az élettartam meghatározott százalékában vagy a lejárata előtt bizonyos számú napon aktiválódik-e. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A tanúsítványok nem járnak le a megadott számú napon belül | A megadott számú napon belül lejáró tanúsítványok kezelése annak biztosítása érdekében, hogy a szervezetnek elegendő ideje legyen a tanúsítvány lejárat előtti elforgatására. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.1 |
| A tanúsítványoknak engedélyezett kulcstípusokat kell használniuk | A tanúsítványokhoz engedélyezett kulcstípusok korlátozásával kezelheti a szervezeti megfelelőségi követelményeket. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A háromliptikus görbe titkosítását használó tanúsítványoknak engedélyezett görbenevekkel kell rendelkezniük | A kulcstartóban tárolt ECC-tanúsítványok engedélyezett háromliptikus görbeneveinek kezelése. További információt a következő címen https://aka.ms/akvpolicytalál: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Az RSA titkosítást használó tanúsítványoknak meg kell adni a minimális kulcsméretet | A szervezeti megfelelőségi követelmények kezelése a kulcstartóban tárolt RSA-tanúsítványok minimális kulcsméretének megadásával. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcsokat hardveres biztonsági modulnak (HSM) kell biztonsági másolatot létrehoznia | A HSM egy hardveres biztonsági modul, amely kulcsokat tárol. A HSM fizikai védelmi réteget biztosít a titkosítási kulcsokhoz. A titkosítási kulcs nem hagyhatja el a fizikai HSM-et, amely nagyobb biztonságot nyújt, mint egy szoftverkulcs. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsnak a megadott RSA vagy EC titkosítási típusnak kell lennie | Egyes alkalmazásokhoz egy adott titkosítási típus által támogatott kulcsok használata szükséges. Kényszerítsen ki egy adott titkosítási kulcstípust (RSA vagy EC) a környezetben. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsoknak rotációs szabályzattal kell rendelkezniük, amely biztosítja, hogy a forgatás a létrehozást követő megadott számú napon belül legyen ütemezve. | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a kulcslétrehozás utáni napok maximális számát, amíg el nem kell forgatni. | Naplózás, letiltva | 1.0.0 |
| A kulcsoknak többnek kell lennie a megadott számú napnál a lejárat előtt | Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő legyen a hibákra való reagálásra. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a kulcsok érvényességének maximális időtartamát a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Adja meg, hogy egy kulcs hány napig legyen aktív. A hosszabb ideig használt kulcsok növelik annak valószínűségét, hogy egy támadó feltörheti a kulcsot. Jó biztonsági gyakorlatként győződjön meg arról, hogy a kulcsok nem voltak aktívak két évnél tovább. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük | A háromliptikus görbék titkosítása által támogatott kulcsok eltérő görbenevekkel rendelkezhetnek. Egyes alkalmazások csak adott háromliptikus görbekulcsokkal kompatibilisek. Kényszerítse ki azokat a háromliptikus görbekulcsokat, amelyek a környezetben hozhatók létre. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az RSA titkosítást használó kulcsoknak meg kell adni a minimális kulcsméretet | Állítsa be a kulcstartókhoz használható minimálisan engedélyezett kulcsméretet. A kis kulcsméretű RSA-kulcsok használata nem biztonságos eljárás, és nem felel meg számos iparági minősítési követelménynek. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kulcsoknak tartalomtípus-készlettel kell rendelkezniük | A tartalomtípus címkéje segít megállapítani, hogy a titkos kulcs jelszó-e, kapcsolati sztring stb. A különböző titkos kódok eltérő rotációs követelményekkel rendelkeznek. A tartalomtípus címkéjét titkos kódokra kell beállítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódoknak a megadott számú napnál többnek kell lennie a lejárat előtt | Ha egy titkos kód túl közel van a lejárathoz, a titkos kód forgatásának szervezeti késleltetése kimaradáshoz vezethet. A titkos kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő adva legyen a hibákra való reagáláshoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a titkos kulcsok érvényességének maximális időtartamát a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Ha a titkos kulcsokat a jövőben beállított aktiválási dátummal hozták létre, győződjön meg arról, hogy a titkos kulcsok nem voltak aktívak a megadott időtartamnál hosszabb ideig. | Naplózás, megtagadás, letiltva | 1.0.1 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.