Встроенные определения в Политике Azure для Key Vault
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Key Vault. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Key Vault (служба)
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Предварительная версия. В модуле HSM, управляемом Azure Key Vault, должен быть отключен доступ по общедоступной сети | Отключите доступ по общедоступной сети для своего модуля HSM, управляемого Azure Key Vault, чтобы к нему не было доступа по общедоступному Интернету. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Предварительная версия. В модуле HSM, управляемом Azure Key Vault, должен использоваться приватный канал | Приватный канал позволяет подключать модуль HSM, управляемый Azure Key Vault, к ресурсам Azure без отправки трафика по общедоступному Интернету. Приватный канал обеспечивает защиту от кражи данных в рамках подхода Defense in Depth. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: сертификаты должны выдаваться одним из указанных не интегрированных центров сертификации | Управление требованиями к соответствию организации путем указания пользовательских или внутренних центров сертификации, которые могут выдавать сертификаты в хранилище ключей. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Предварительная версия. Настройка модуля HSM, управляемого Azure Key Vault, так, чтобы он запрещал доступ из общедоступных сетей | Отключите доступ по общедоступной сети для своего модуля HSM, управляемого Azure Key Vault, чтобы к нему не было доступа по общедоступному Интернету. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modify, Disabled | 2.0.0-preview |
| Предварительная версия. Настройка модуля HSM, управляемого Azure Key Vault, с использованием частных конечных точек | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с модулем HSM, управляемым Azure Key Vault, можно снизить риск утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| Для Управляемого модуля HSM для Azure Key Vault необходимо включить защиту от очистки | Удаление управляемого модуля HSM для Azure Key Vault злоумышленником может привести к необратимой потере данных. Потенциальный злоумышленник в вашей организации может удалить и очистить управляемый модуль HSM для Azure Key Vault. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для управляемого модуля HSM для Azure Key Vault, который был обратимо удален. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить управляемый модуль HSM для Azure Key Vault во время периода хранения при обратимом удалении. | Audit, Deny, Disabled | 1.0.0 |
| В Azure Key Vault должен быть отключен общий доступ по сети | Отключите доступ по общедоступной сети для своего хранилища ключей, чтобы оно было недоступно через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault должен использовать модель разрешений RBAC | Включите модель разрешений RBAC в хранилищах ключей. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration. | Audit, Deny, Disabled | 1.0.1 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Сертификаты должны быть выданы указанным интегрированным центром сертификации | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав интегрированные с Azure центры сертификации (например, например Digicert или GlobalSign), которые могут выдавать сертификаты в вашем хранилище ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Сертификаты должны быть выданы указанным неинтегрированным центром сертификации | Управление требованиями к соответствию организации путем указания одного пользовательского или внутреннего центра сертификации, которые могут выдавать сертификаты в хранилище ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Для сертификатов необходимо настроить указанные триггеры действия для времени существования | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав, активируется ли действие времени существования сертификата при достижении определенного процента времени существования или через определенное число дней до истечения срока действия. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Сертификаты должны иметь указанный максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Срок действия сертификатов не должен истечь в течение указанного числа дней | Вы можете управлять сертификатами, срок действия которых истечет через указанное число дней, чтобы у организации было достаточно времени на замену таких сертификатов. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Сертификаты должны использовать разрешенные типы ключей | Вы можете управлять требованиями к обеспечению соответствия для своей организации, ограничивая разрешенные для сертификатов типы ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| У сертификатов, использующих шифрование на основе эллиптических кривых, должны быть разрешенные имена кривых | Вы можете управлять разрешенными именами эллиптических кривых для сертификатов ECC, хранящихся в хранилище ключей. Дополнительные сведения см. здесь: https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав минимальный размер ключа для сертификатов RSA, хранящихся в хранилище ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Настройка частных конечных точек для хранилищ ключей Azure | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка хранилища ключей для поддержки брандмауэра | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. Затем можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Modify, Disabled | 1.1.1 |
| Развертывание: настройка параметров диагностики для связи Azure Key Vault с рабочей областью Log Analytics | Развертывает для Azure Key Vault параметры диагностики, настроенные для потоковой передачи журналов ресурсов в рабочую область Log Analytics, при создании или изменении Key Vault, где эти параметры отсутствуют. | DeployIfNotExists, Disabled | 2.0.1 |
| Развертывание: настройка параметров диагностики в рабочей области Log Analytics, которые должны быть включены на управляемом модуле HSM для Azure Key Vault | Развертывает параметры диагностики управляемого модуля HSM для Azure Key Vault для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении управляемого модуля HSM для Azure Key Vault, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 1.0.0 |
| Развертывание — настройте в концентраторе событий параметры диагностики, которые должны быть включены на управляемом модуле HSM для Azure Key Vault | Развертывает параметры диагностики управляемого модуля HSM для Azure Key Vault для потоковой передачи в региональный концентратор событий при создании или изменении управляемого модуля HSM для Azure Key Vault, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 1.0.0 |
| Развернуть параметры диагностики для Key Vault в концентраторе событий | Развертывает параметры диагностики для Key Vault для потоковой передачи в региональный концентратор событий при создании или изменении любого ресурса Key Vault, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 3.0.1 |
| Развертывание параметров диагностики Key Vault в рабочей области Log Analytics | Развертывает параметры диагностики Key Vault для потоковой передачи в региональную рабочую область Log Analytics при создании или изменении Key Vault, где эти параметры диагностики отсутствуют. | DeployIfNotExists, Disabled | 3.0.0 |
| Включение ведения журнала по группе категорий для хранилищ ключей (microsoft.keyvault/vaults) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для хранилищ ключей (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для хранилищ ключей (microsoft.keyvault/vaults) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для хранилищ ключей (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для хранилищ ключей (microsoft.keyvault/vaults) для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для хранилищ ключей (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для управляемых HSM (microsoft.keyvault/managedhsms) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для управляемых HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Включение ведения журнала по группе категорий для управляемых HSM (microsoft.keyvault/managedhsms) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для управляемых HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для управляемых HSM (microsoft.keyvault/managedhsms) для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для управляемых HSM (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Служба Key Vault должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех Key Vault, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
| В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Audit, Deny, Disabled | 3.0.0 |
| Ключи должны поддерживаться аппаратным модулем безопасности (HSM) | Аппаратный модуль безопасности (HSM) используется для хранения ключей. HSM обеспечивает физический уровень защиты для криптографических ключей. Криптографический ключ не может покинуть физическое устройство HSM, что обеспечивает более высокий уровень безопасности, чем при использовании программного ключа. | Audit, Deny, Disabled | 1.0.1 |
| Ключи должны иметь указанный тип шифрования RSA или EC | Некоторые приложения требуют использовать ключи, поддерживаемых определенным типом шифрования. Принудительно используйте в своей среде определенный тип криптографического ключа (RSA или EC). | Audit, Deny, Disabled | 1.0.1 |
| Ключи должны иметь политику поворота, гарантирующую, что их смена запланирована в течение указанного числа дней после создания. | Управление требованиями к соответствию организации путем указания максимального числа дней после создания ключа до его смены. | Audit, Disabled | 1.0.0 |
| Ключи должны иметь больше указанного числа дней до истечения срока действия | Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Audit, Deny, Disabled | 1.0.1 |
| Для ключей должен быть указан максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени в днях, в течение которого ключ будет действительным в хранилище ключей. | Audit, Deny, Disabled | 1.0.1 |
| Ключи не должны быть активными дольше указанного числа дней | Укажите число дней, в течение которых должен быть активен ключ. При использовании ключей в течение продолжительного времени увеличивается вероятность их компрометации злоумышленником. В целях безопасности рекомендуется следить за тем, чтобы ключи не были активны дольше двух лет. | Audit, Deny, Disabled | 1.0.1 |
| У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых | Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. | Audit, Deny, Disabled | 1.0.1 |
| Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа | Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. | Audit, Deny, Disabled | 1.0.1 |
| В управляемом модуле HSM в Azure Key Vault необходимо включить журналы ресурсов | Чтобы воссоздать следы действий для расследования инцидентов безопасности или несанкционированного доступа к сети, можно выполнить аудит, включив журналы ресурсов в управляемых модулях HSM. Следуйте инструкциям из этой статьи: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Для секретов должен быть задан тип содержимого | Тег типа содержимого помогает определить, является ли секрет паролем, строкой подключения и т. д. У разных секретов есть различные требования к смене секретов. Для секретов должен быть задан тег типа содержимого. | Audit, Deny, Disabled | 1.0.1 |
| Секреты должны иметь больше указанного числа дней до истечения срока действия | Если секрет слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Секреты необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Audit, Deny, Disabled | 1.0.1 |
| Для секретов должен быть указан максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени в днях, в течение которого секрет будет действительным в хранилище ключей. | Audit, Deny, Disabled | 1.0.1 |
| Секреты не должны быть активными дольше указанного числа дней | Если при создании секретов была задана дата активации в будущем, необходимо убедиться, что секреты не были активны дольше указанного времени. | Audit, Deny, Disabled | 1.0.1 |
Key Vault (объекты)
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: сертификаты должны выдаваться одним из указанных не интегрированных центров сертификации | Управление требованиями к соответствию организации путем указания пользовательских или внутренних центров сертификации, которые могут выдавать сертификаты в хранилище ключей. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Сертификаты должны быть выданы указанным интегрированным центром сертификации | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав интегрированные с Azure центры сертификации (например, например Digicert или GlobalSign), которые могут выдавать сертификаты в вашем хранилище ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Сертификаты должны быть выданы указанным неинтегрированным центром сертификации | Управление требованиями к соответствию организации путем указания одного пользовательского или внутреннего центра сертификации, которые могут выдавать сертификаты в хранилище ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Для сертификатов необходимо настроить указанные триггеры действия для времени существования | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав, активируется ли действие времени существования сертификата при достижении определенного процента времени существования или через определенное число дней до истечения срока действия. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Сертификаты должны иметь указанный максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Срок действия сертификатов не должен истечь в течение указанного числа дней | Вы можете управлять сертификатами, срок действия которых истечет через указанное число дней, чтобы у организации было достаточно времени на замену таких сертификатов. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Сертификаты должны использовать разрешенные типы ключей | Вы можете управлять требованиями к обеспечению соответствия для своей организации, ограничивая разрешенные для сертификатов типы ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| У сертификатов, использующих шифрование на основе эллиптических кривых, должны быть разрешенные имена кривых | Вы можете управлять разрешенными именами эллиптических кривых для сертификатов ECC, хранящихся в хранилище ключей. Дополнительные сведения см. здесь: https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав минимальный размер ключа для сертификатов RSA, хранящихся в хранилище ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Ключи должны поддерживаться аппаратным модулем безопасности (HSM) | Аппаратный модуль безопасности (HSM) используется для хранения ключей. HSM обеспечивает физический уровень защиты для криптографических ключей. Криптографический ключ не может покинуть физическое устройство HSM, что обеспечивает более высокий уровень безопасности, чем при использовании программного ключа. | Audit, Deny, Disabled | 1.0.1 |
| Ключи должны иметь указанный тип шифрования RSA или EC | Некоторые приложения требуют использовать ключи, поддерживаемых определенным типом шифрования. Принудительно используйте в своей среде определенный тип криптографического ключа (RSA или EC). | Audit, Deny, Disabled | 1.0.1 |
| Ключи должны иметь политику поворота, гарантирующую, что их смена запланирована в течение указанного числа дней после создания. | Управление требованиями к соответствию организации путем указания максимального числа дней после создания ключа до его смены. | Audit, Disabled | 1.0.0 |
| Ключи должны иметь больше указанного числа дней до истечения срока действия | Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Audit, Deny, Disabled | 1.0.1 |
| Для ключей должен быть указан максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени в днях, в течение которого ключ будет действительным в хранилище ключей. | Audit, Deny, Disabled | 1.0.1 |
| Ключи не должны быть активными дольше указанного числа дней | Укажите число дней, в течение которых должен быть активен ключ. При использовании ключей в течение продолжительного времени увеличивается вероятность их компрометации злоумышленником. В целях безопасности рекомендуется следить за тем, чтобы ключи не были активны дольше двух лет. | Audit, Deny, Disabled | 1.0.1 |
| У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых | Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. | Audit, Deny, Disabled | 1.0.1 |
| Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа | Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. | Audit, Deny, Disabled | 1.0.1 |
| Для секретов должен быть задан тип содержимого | Тег типа содержимого помогает определить, является ли секрет паролем, строкой подключения и т. д. У разных секретов есть различные требования к смене секретов. Для секретов должен быть задан тег типа содержимого. | Audit, Deny, Disabled | 1.0.1 |
| Секреты должны иметь больше указанного числа дней до истечения срока действия | Если секрет слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Секреты необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. | Audit, Deny, Disabled | 1.0.1 |
| Для секретов должен быть указан максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени в днях, в течение которого секрет будет действительным в хранилище ключей. | Audit, Deny, Disabled | 1.0.1 |
| Секреты не должны быть активными дольше указанного числа дней | Если при создании секретов была задана дата активации в будущем, необходимо убедиться, что секреты не были активны дольше указанного времени. | Audit, Deny, Disabled | 1.0.1 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.