تعريفات مضمنة لسياسة Azure لـ Key Vault
هذه الصفحة عبارة عن فهرس لتعريفات النهج المضمنة في نهج Azure ل Key Vault. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
Key Vault (خدمة)
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[معاينة]: يجب أن يقوم HSM المُدار من Azure Key Vault بتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى HSM المدارة في Azure Key Vault بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
[معاينة]: يجب أن يستخدم Azure Key Vault Managed HSM ارتباط خاص | يوفر الارتباط الخاص طريقة لتوصيل HSM المدارة في Azure Key Vault بمواردك في Azure دون إرسال حركة المرور عبر الإنترنت العام. يوفر الارتباط الخاص حماية دفاعية في العمق ضد تسرب البيانات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | المراجعة، معطلة | 1.0.0-المعاينة |
[معاينة]: يجب إصدار الشهادات من قبل إحدى المراجع المصدقة غير المتكاملة المحددة | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد المراجع المصدقة المخصصة أو الداخلية التي يمكنها إصدار شهادات في مخزن المفاتيح الخاص بك. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
[معاينة]: تكوين Azure Key Vault Managed HSM لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى HSM المدارة في Azure Key Vault بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | تعديل، تعطيل | 2.0.0-المعاينة |
[معاينة]: تكوين Azure Key Vault Managed HSM بنقاط نهاية خاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى HSM المُدار في Azure Key Vault. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
يجب تمكين الحماية من الحذف النهائي في Azure Key Vault Managed HSM | يمكن أن يؤدي الحذف الضار لـ HSM المدارة في Azure Key Vault إلى فقدان البيانات بشكل دائم. يمكن لأي برنامج ضار داخلي داخل مؤسستك حذف ومسح HSM المدار في Azure Key Vault. تعمل الحماية من المسح على حمايتك من الهجمات الداخلية من خلال فرض فترة الاحتفاظ الإلزامية على HSM المدارة في Azure Key Vault المحذوف مبدئيًا. لن يتمكن أحد داخل مؤسستك أو Microsoft من مسح HSM المدارة في Azure Key Vault خلال فترة الاحتفاظ بالحذف المبدئي. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يعطل Azure Key Vault الوصول إلى الشبكة العامة | قم بتعطيل وصول الشبكة العامة الخاصة بـ Key Vault بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/akvprivatelink. | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
يجب أن يستخدم Azure Key Vault نموذج إذن التحكم في الوصول استنادا إلى الدور | تمكين نموذج إذن التحكم في الوصول استنادا إلى الدور عبر Key Vaults. تعرّف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
يجب إصدار الشهادات من قبل مرجع مصدق متكامل ومحدد | إدارة متطلباتك التوافقية التنظيمية عن طريق تحديد المراجع المصدقة المتكاملة في Azure التي يمكنها إصدار شهادات في key vault مثل Digicert أو GlobalSign. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب إصدار الشهادات من قبل مرجع مصدق محدد وغير متكامل | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد مراجع شهادات مخصصة أو داخلية واحدة يمكنها إصدار شهادات في مخزن المفاتيح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.1 |
يجب أن تحتوي الشهادات على مشغلات الإجراء للفترة الزمنية المحددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد ما إذا كان يتم تشغيل إجراء على مدار مدة الشهادة بنسبة مئوية معينة من مدتها أو في عدد معين من الأيام قبل انتهاء صلاحيتها. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب أن يكون للشهادات أقصى فترة صلاحية محددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.2.1 |
يجب ألا تنتهي صلاحية الشهادات خلال عدد الأيام المحدد | إدارة الشهادات التي ستنتهي صلاحيتها خلال عدد محدد من الأيام لضمان حصول مؤسستك على الوقت الكافي لتدوير الشهادة قبل انتهاء صلاحيتها. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.1 |
يجب أن تستخدم الشهادات أنواع المفاتيح المسموح بها | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تقييد أنواع المفاتيح المسموح بها للشهادات. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
كان من الواجب أن تسمح الشهادات التي تستخدم تشفير منحنى على شكل قطع ناقص بأسماء المنحنى | إدارة أسماء المنحنى على شكل قطع ناقص المسموح بها لشهادات ECC المخزنة في key vault. يمكن العثور على مزيد من المعلومات في https://aka.ms/akvpolicy. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب أن يكون للشهادات التي تستخدم تشفير RSA الحد الأدنى المحدد لحجم المفتاح | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأدنى لحجم المفتاح فيما يخص شهادات RSA المخزنة في المخزن الرئيسي. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
تكوين Azure Key Vaults مع نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | DeployIfNotExists، معطل | 1.0.1 |
تكوين خزائن المفاتيح لتمكين الجدار الخاص بالحماية | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. يمكنك بعد ذلك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | تعديل، تعطيل | 1.1.1 |
نشر - تكوين إعدادات التشخيص لـ Azure Key Vault إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Azure Key Vault لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي Key Vault يفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 2.0.1 |
نشر - تكوين إعدادات التشخيص إلى مساحة عمل Log Analytics ليتم تمكينها على Azure Key Vault Managed HSM | لنشر إعدادات التشخيص لـ Azure Key Vault Managed HSM للبث إلى مساحة عمل إقليمية لـ Log Analytics عند إنشاء أي Azure Key Vault Managed HSM أو تحديثه والذي يفتقر لإعدادات التشخيص هذه. | DeployIfNotExists، معطل | 1.0.0 |
نشر - تكوين إعدادات التشخيص إلى مركز الحدث ليتم تمكينها على HSM المُدار في Azure Key Vault | نشر إعدادات التشخيص لـ HSM المُدار في Azure Key Vault للبث إلى مركز حدث إقليمي عند إنشاء أو تحديث أي HSM مُدار في Azure Key Vault الذي يفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 1.0.0 |
نشر الإعدادات التشخيصية لـ Key Vault إلى مركز الحدث | نشر إعدادات التشخيص لـ Key Vault للبث إلى سجل حدث إقليمي عند إنشاء أو تحديث أي Key Vault يفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 3.0.1 |
نشر إعدادات التشخيص لـ Key Vault إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Key Vault للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Key Vault يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 3.0.0 |
تمكين التسجيل حسب مجموعة الفئات ل Key vaults (microsoft.keyvault/vaults) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists، AuditIfNotExists، معطل | 1.2.0 |
تمكين التسجيل حسب مجموعة الفئات ل Key vaults (microsoft.keyvault/vaults) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
تمكين التسجيل حسب مجموعة الفئات ل Key vaults (microsoft.keyvault/vaults) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
تمكين التسجيل حسب مجموعة الفئات ل HSMs المدارة (microsoft.keyvault/managedhsms) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل HSMs المدارة (microsoft.keyvault/managedhsms). | DeployIfNotExists، AuditIfNotExists، معطل | 1.2.0 |
تمكين التسجيل حسب مجموعة الفئات ل HSMs المدارة (microsoft.keyvault/managedhsms) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل HSMs المدارة (microsoft.keyvault/managedhsms). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
تمكين التسجيل حسب مجموعة الفئات ل HSMs المدارة (microsoft.keyvault/managedhsms) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل HSMs المدارة (microsoft.keyvault/managedhsms). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن تستخدم خدمة Key Vault نقطة نهاية خدمة شبكة ظاهرية | يساعد هذا النهج على مراجعة جميع خدمات Key Vault التي تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
يجب أن تكون المفاتيح مدعومة بوحدة أمان الأجهزة (HSM) | HSM هي وحدة أمان الأجهزة التي تخزن المفاتيح. توفر HSM طبقة فعلية من الحماية لمفاتيح التشفير. لا يمكن أن يترك مفتاح التشفير HSM فعلية توفر مستوى أمان أكبر من مفتاح البرنامج. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تكون المفاتيح من النوع المحدد للتشفير RSA أو EC | تتطلب بعض التطبيقات استخدام مفاتيح مدعومة بنوع تشفير محدد. افرض نوع مفتاح تشفير معينًا، RSA أو EC، في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للمفاتيح نهج تدوير يضمن جدولة دورانها خلال عدد الأيام المحدد بعد الإنشاء. | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى لعدد الأيام بعد إنشاء المفتاح حتى يجب تدويره. | المراجعة، معطلة | 1.0.0 |
يجب أن يكون للمفاتيح عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | إذا كان ثمة مفتاح قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير المفتاح إلى انقطاع. يجب تدوير المفاتيح في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للمفاتيح فترة صلاحية قصوى محددة | إدارة متطلبات التوافق التنظيمية عن طريق تحديد الحد الأقصى من الوقت في الأيام التي يمكن أن يكون المفتاح فيها صالحًا داخل key vault. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب ألا تكون المفاتيح نشطة لفترة أطول من عدد الأيام المحدد | حدد عدد الأيام التي يجب أن يكون المفتاح نشطًا فيها. المفاتيح المستخدمة لفترة طويلة من الوقت تزيد من احتمالية أن يعرض المهاجم المفتاح للخطر. كممارسة أمان جيدة، تأكد من أن المفاتيح لديك لم تكن نشطة لأكثر من عامين. | التدقيق، الرفض، التعطيل | 1.0.1 |
المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة | يمكن أن يكون للمفاتيح المدعومة بتشفير منحنى على شكل قطع ناقص أسماء منحنى مختلفة. بعض التطبيقات متوافقة فقط مع مفاتيح المنحنى على شكل قطع ناقص المحددة. افرض أنواع مفاتيح المنحنى على شكل قطع ناقص المسموح بإنشائها في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح | قم بتعيين الحد الأدنى المسموح به لحجم المفتاح للاستخدام مع المخازن الرئيسية. استخدام مفاتيح RSA مع أحجام المفاتيح الصغيرة لا يُعد ممارسة آمنة ولا يفي بالعديد من متطلبات شهادة الصناعة. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب تمكين سجلات الموارد في HSM المدارة في Azure Key Vault | لإعادة إنشاء مسارات النشاط لأغراض التحري؛ عند حدوث حادث أمني أو عند اختراق الشبكة، قد ترغب في التدقيق من خلال تمكين سجلات المورد على وحدات HSM. يرجى اتباع التعليمات هنا: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists، معطل | 1.1.0 |
يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
يجب أن يتم تعيين نوع المحتوى للأسرار | تساعد علامة نوع المحتوى على تحديد ما إذا كان السر هو كلمة مرور أو سلسلة اتصال أو ما إلى ذلك. حيث إن الأسرار المختلفة لها متطلبات تدوير مختلفة. يجب تعيين علامة نوع المحتوى على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للأسرار عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | إذا كان هناك سر قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير السر إلى انقطاع. يجب تدوير الأسرار في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تكون للأسرار فترة صلاحية قصوى محددة | إدارة متطلبات التوافق التنظيمية عن طريق تحديد الحد الأقصى من الوقت في الأيام التي يمكن أن يكون السر فيها صالحًا داخل key vault. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب ألا تكون الأسرار نشطة لفترة أطول من عدد الأيام المحدد | إذا تم إنشاء الأسرار لديك بتاريخ تنشيط محدد في المستقبل، فيجب عليك التأكد من أن الأسرار لديك لم تكن نشطة لفترة أطول من المدة المحددة. | التدقيق، الرفض، التعطيل | 1.0.1 |
Key Vault (كائنات)
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[معاينة]: يجب إصدار الشهادات من قبل إحدى المراجع المصدقة غير المتكاملة المحددة | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد المراجع المصدقة المخصصة أو الداخلية التي يمكنها إصدار شهادات في مخزن المفاتيح الخاص بك. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
يجب إصدار الشهادات من قبل مرجع مصدق متكامل ومحدد | إدارة متطلباتك التوافقية التنظيمية عن طريق تحديد المراجع المصدقة المتكاملة في Azure التي يمكنها إصدار شهادات في key vault مثل Digicert أو GlobalSign. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب إصدار الشهادات من قبل مرجع مصدق محدد وغير متكامل | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد مراجع شهادات مخصصة أو داخلية واحدة يمكنها إصدار شهادات في مخزن المفاتيح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.1 |
يجب أن تحتوي الشهادات على مشغلات الإجراء للفترة الزمنية المحددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد ما إذا كان يتم تشغيل إجراء على مدار مدة الشهادة بنسبة مئوية معينة من مدتها أو في عدد معين من الأيام قبل انتهاء صلاحيتها. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب أن يكون للشهادات أقصى فترة صلاحية محددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.2.1 |
يجب ألا تنتهي صلاحية الشهادات خلال عدد الأيام المحدد | إدارة الشهادات التي ستنتهي صلاحيتها خلال عدد محدد من الأيام لضمان حصول مؤسستك على الوقت الكافي لتدوير الشهادة قبل انتهاء صلاحيتها. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.1 |
يجب أن تستخدم الشهادات أنواع المفاتيح المسموح بها | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تقييد أنواع المفاتيح المسموح بها للشهادات. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
كان من الواجب أن تسمح الشهادات التي تستخدم تشفير منحنى على شكل قطع ناقص بأسماء المنحنى | إدارة أسماء المنحنى على شكل قطع ناقص المسموح بها لشهادات ECC المخزنة في key vault. يمكن العثور على مزيد من المعلومات في https://aka.ms/akvpolicy. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب أن يكون للشهادات التي تستخدم تشفير RSA الحد الأدنى المحدد لحجم المفتاح | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأدنى لحجم المفتاح فيما يخص شهادات RSA المخزنة في المخزن الرئيسي. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن تكون المفاتيح مدعومة بوحدة أمان الأجهزة (HSM) | HSM هي وحدة أمان الأجهزة التي تخزن المفاتيح. توفر HSM طبقة فعلية من الحماية لمفاتيح التشفير. لا يمكن أن يترك مفتاح التشفير HSM فعلية توفر مستوى أمان أكبر من مفتاح البرنامج. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تكون المفاتيح من النوع المحدد للتشفير RSA أو EC | تتطلب بعض التطبيقات استخدام مفاتيح مدعومة بنوع تشفير محدد. افرض نوع مفتاح تشفير معينًا، RSA أو EC، في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للمفاتيح نهج تدوير يضمن جدولة دورانها خلال عدد الأيام المحدد بعد الإنشاء. | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى لعدد الأيام بعد إنشاء المفتاح حتى يجب تدويره. | المراجعة، معطلة | 1.0.0 |
يجب أن يكون للمفاتيح عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | إذا كان ثمة مفتاح قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير المفتاح إلى انقطاع. يجب تدوير المفاتيح في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للمفاتيح فترة صلاحية قصوى محددة | إدارة متطلبات التوافق التنظيمية عن طريق تحديد الحد الأقصى من الوقت في الأيام التي يمكن أن يكون المفتاح فيها صالحًا داخل key vault. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب ألا تكون المفاتيح نشطة لفترة أطول من عدد الأيام المحدد | حدد عدد الأيام التي يجب أن يكون المفتاح نشطًا فيها. المفاتيح المستخدمة لفترة طويلة من الوقت تزيد من احتمالية أن يعرض المهاجم المفتاح للخطر. كممارسة أمان جيدة، تأكد من أن المفاتيح لديك لم تكن نشطة لأكثر من عامين. | التدقيق، الرفض، التعطيل | 1.0.1 |
المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة | يمكن أن يكون للمفاتيح المدعومة بتشفير منحنى على شكل قطع ناقص أسماء منحنى مختلفة. بعض التطبيقات متوافقة فقط مع مفاتيح المنحنى على شكل قطع ناقص المحددة. افرض أنواع مفاتيح المنحنى على شكل قطع ناقص المسموح بإنشائها في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح | قم بتعيين الحد الأدنى المسموح به لحجم المفتاح للاستخدام مع المخازن الرئيسية. استخدام مفاتيح RSA مع أحجام المفاتيح الصغيرة لا يُعد ممارسة آمنة ولا يفي بالعديد من متطلبات شهادة الصناعة. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يتم تعيين نوع المحتوى للأسرار | تساعد علامة نوع المحتوى على تحديد ما إذا كان السر هو كلمة مرور أو سلسلة اتصال أو ما إلى ذلك. حيث إن الأسرار المختلفة لها متطلبات تدوير مختلفة. يجب تعيين علامة نوع المحتوى على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن يكون للأسرار عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | إذا كان هناك سر قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير السر إلى انقطاع. يجب تدوير الأسرار في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تكون للأسرار فترة صلاحية قصوى محددة | إدارة متطلبات التوافق التنظيمية عن طريق تحديد الحد الأقصى من الوقت في الأيام التي يمكن أن يكون السر فيها صالحًا داخل key vault. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب ألا تكون الأسرار نشطة لفترة أطول من عدد الأيام المحدد | إذا تم إنشاء الأسرار لديك بتاريخ تنشيط محدد في المستقبل، فيجب عليك التأكد من أن الأسرار لديك لم تكن نشطة لفترة أطول من المدة المحددة. | التدقيق، الرفض، التعطيل | 1.0.1 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.