其他基线安全注意事项

  • 8 分钟

为了在 Azure 订阅上设置常规安全和操作控制措施,还应遵循一些其他安全建议。

更多安全建议

以下部分介绍了 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的其他建议。 每项建议都包含要在 Azure 门户中完成的基本步骤。 应为自己的订阅完成这些步骤,并使用自己的资源来验证每个安全建议。 注意,“级别 2”选项可能会限制某些功能或活动,因此请仔细考虑你决定执行的安全选项。

为 Azure Key Vault 中的所有密钥设置到期日期 - 级别 1

除了密钥以外,还可以为 Azure Key Vault 中的密钥指定以下属性。 在 JSON 请求中,即使未指定任何属性,也需要属性的关键字和大括号 { }。 例如,对于可选 IntDate 属性,默认值为 foreverexp(到期时间)属性识别密钥不得用于加密操作当时或之后的到期时间,特定条件下的某些操作类型除外。 exp 属性的处理要求当前日期和时间在 exp 值中设置的到期日期和时间之前。

建议轮换密钥保管库中的密钥,并为每个密钥设置明确的到期时间。 此过程可确保密钥无法在超过其分配的生存期时使用。 Key Vault 存储机密并将其按照 8 位字节序列(称为八位位组)管理,每个密钥的每个字节的最大大小为 25 KB。 对于高度敏感的数据,客户端应考虑对数据提供额外的保护层。 例如,在 Key Vault 中存储数据之前,使用单独的保护密钥加密数据。 为每个密钥保管库中的所有密钥完成以下步骤。

  1. 登录 Azure 门户。 搜索并选择“密钥保管库”。

  2. 在左侧菜单中的“对象”下,选择“密钥”。

  3. 在密钥保管库的“密钥”窗格中,确保保管库中的每个密钥都相应地设置“到期日期”。

  4. 如果更改任何设置,请在菜单栏中选择“保存”。

为 Azure Key Vault 中的所有机密设置到期日期 - 级别 1

安全地存储令牌、密码、证书、API 密钥和其他机密,并对其访问进行严格控制。 确保为 Azure Key Vault 中的所有机密设置了到期时间。 为每个密钥保管库中的所有机密完成以下步骤。

  1. 登录 Azure 门户。 搜索并选择“密钥保管库”。

  2. 在左侧菜单中的“对象”下,选择“机密”。

  3. 在密钥保管库的“机密”窗格中,确保保管库中的每个机密都相应地设置“到期日期”。

    下面的屏幕截图演示了如何设置密码的到期日期:

    Screenshot that shows how to set an expiration date on a key vault secret.

  4. 如果更改任何设置,请在菜单栏中选择“保存”。

为任务关键型 Azure 资源设置资源锁 - 级别 2

管理员可能需要锁定订阅、资源组或资源,以防止其他用户意外删除或修改关键资源。 在 Azure 门户中,锁级别为“只读”和“删除”。 与基于角色的访问控制不同,可以使用管理锁来对所有用户和角色应用限制。 Azure 资源管理器锁仅适用于管理平面内发生的操作,包括发送到 https://management.azure.com 的操作。 这类锁不会限制资源如何执行各自的函数。 资源更改将受到限制,但资源操作不受限制。

提示

例如,Azure SQL 数据库实例上的 Read-only 锁会阻止你删除或修改数据库。 它不会阻止你在数据库中创建、更新或删除数据。 会允许数据事务,因为这些操作不会发送到 https://management.azure.com

为 Azure 订阅中的所有任务关键型资源完成以下步骤。

  1. 登录 Azure 门户。 搜索并选择“所有资源”。

  2. 选择要锁定的资源、资源组或订阅。

  3. 在菜单中的“设置”下,选择“锁”。

  4. 在“锁”窗格中的菜单栏中,选择“添加”。

  5. 在“添加锁”窗格中,输入锁的名称并选择锁级别。 (可选)可以添加注释来描述该锁。

Screenshot that shows how to lock a resource in the Azure portal.