Integrierte Azure Policy-Definitionen für Key Vault
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Key Vault. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Key Vault (Dienst)
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Das verwaltete HSM von Azure Key Vault muss den Zugriff über öffentliche Netzwerke deaktivieren. | Deaktivieren Sie für verwaltetes HSM von Azure Key Vault den Zugriff über öffentliche Netzwerke, sodass es nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Das verwaltete HSM von Azure Key Vault muss Private Link verwenden. | Private Link bietet eine Möglichkeit, das verwaltete HSM von Azure Key Vault mit Ihren Azure-Ressourcen zu verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [Vorschau]: Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem benutzerdefinierte oder interne Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Verwaltetes Azure Key Vault-HSM für das Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren. | Deaktivieren Sie für verwaltetes HSM von Azure Key Vault den Zugriff über öffentliche Netzwerke, sodass es nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modify, Disabled | 2.0.0-preview |
| [Vorschau]: Konfigurieren des verwalteten HSM von Azure Key Vault mit privaten Endpunkten. | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Indem Sie private Endpunkte dem verwalteten HSM von Azure Key Vault zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Für ein verwaltetes Azure Key Vault-HSM muss der Löschschutz aktiviert sein | Das böswillige Löschen eines verwalteten Azure Key Vault-HSM kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann ein verwaltetes Azure Key Vault-HSM löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für ein vorläufig gelöschtes verwaltetes Azure Key Vault-HSM durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihr verwaltetes Azure Key Vault-HSM während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. | Audit, Deny, Disabled | 1.0.0 |
| Für Azure Key Vault muss der Zugriff über öffentliche Netzwerke deaktiviert werden. | Deaktivieren Sie für Ihren Schlüsseltresor den Zugriff über öffentliche Netzwerke, sodass er nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault sollte das RBAC-Berechtigungsmodell verwenden. | Aktivieren Sie das RBAC-Berechtigungsmodell in Schlüsseltresoren. Weitere Informationen finden Sie unter: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Zertifikate müssen von der angegebenen integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die in Azure integrierten Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Beispiel: Digicert oder GlobalSign. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die benutzerdefinierten oder internen Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.1 |
| Zertifikate müssen die angegebenen Aktionstrigger für die Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem angegeben wird, ob nach Ablauf eines bestimmten Prozentsatzes der Zertifikatlaufzeit oder bei Erreichen einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats eine Aktion zur Zertifikatlebensdauer ausgelöst wird. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
| Zertifikate dürfen nicht innerhalb der angegebenen Anzahl von Tagen ablaufen | Hiermit werden Zertifikate verwaltet, die innerhalb einer angegebenen Anzahl von Tagen ablaufen. So wird sichergestellt, dass Ihre Organisation über genügend Zeit verfügt, vor Ablauf des Zertifikats eine Rotation durchzuführen. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.1 |
| Zertifikate müssen zulässige Schlüsseltypen verwenden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die für Zertifikate zulässigen Schlüsseltypen eingeschränkt werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate mit Kryptografie für elliptische Kurve müssen zulässige Kurvennamen verwenden | Hiermit werden die zulässigen Kurvennamen für ECC-Zertifikate verwaltet, die im Schlüsseltresor gespeichert sind. Weitere Informationen finden Sie unter https://aka.ms/akvpolicy. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate mit Verwendung von RSA-Kryptografie müssen die angegebene Mindestgröße für Schlüssel aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem eine mindestens erforderliche Schlüsselgröße für RSA-Zertifikate angegeben wird, die in Ihrem Schlüsseltresor gespeichert sind. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Azure Key Vault-Instanzen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Schlüsseltresore zum Aktivieren der Firewall konfigurieren | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Sie können dann bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Modify, Disabled | 1.1.1 |
| Bereitstellen: Diagnoseeinstellungen für Azure Key Vault in Log Analytics-Arbeitsbereich konfigurieren | Hiermit werden die Diagnoseeinstellungen für Azure Key Vault zum Streaming von Ressourcenprotokollen in einen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 2.0.1 |
| Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Log Analytics-Arbeitsbereichs in einem verwalteten Azure Key Vault-HSM konfigurieren | Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Bereitstellen: Diagnoseeinstellungen zur Aktivierung eines Event Hubs in einem verwalteten Azure Key Vault-HSM konfigurieren | Hiermit werden die Diagnoseeinstellungen für ein verwaltetes Azure Key Vault-HSM zum Streaming an einen regionalen Event Hub bereitgestellt, wenn ein verwaltetes Azure Key Vault-HSM erstellt oder aktualisiert wird, in dem diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnoseeinstellungen für Key Vault in Event Hub bereitstellen | Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in eine regionale Event Hub-Instanz bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 3.0.1 |
| Diagnoseeinstellungen für Key Vault in Log Analytics-Arbeitsbereich bereitstellen | Hiermit werden die Diagnoseeinstellungen für Key Vault zum Streamen in einen regionalen Log Analytics-Arbeitsbereich bereitgestellt, wenn eine Key Vault-Instanz erstellt oder aktualisiert wird, in der diese Diagnoseeinstellungen fehlen. | DeployIfNotExists, Disabled | 3.0.0 |
| Protokollierung nach Kategoriegruppe für Schlüsseltresore (microsoft.keyvault/vaults) in Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für Schlüsseltresore (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für Schlüsseltresore (microsoft.keyvault/vaults) in Logs Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für Schlüsseltresore (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für Schlüsseltresore (microsoft.keyvault/vaults) im Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für Schlüsseltresore (microsoft.keyvault/vaults) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für verwaltete HSM (microsoft.keyvault/managedhsms) in Event Hub aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für verwaltete HSM (microsoft.keyvault/managedhsms) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Protokollierung nach Kategoriegruppe für verwaltete HSM (microsoft.keyvault/managedhsms) in Log Analytics aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für verwaltete HSM (microsoft.keyvault/managedhsms) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Protokollierung nach Kategoriegruppe für verwaltete HSM (microsoft.keyvault/managedhsms) im Speicher aktivieren | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für verwaltete HSM (microsoft.keyvault/managedhsms) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Key Vault sollte einen VNET-Dienstendpunkt verwenden | Diese Richtlinie überwacht alle Key Vault-Instanzen, die nicht für die Verwendung eines VNET-Dienstendpunkts konfiguriert sind. | Audit, Disabled | 1.0.0 |
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
| Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
| Schlüssel müssen durch ein Hardwaresicherheitsmodul (HSM) gesichert werden | Mit einem Hardwaresicherheitsmodul (HSM) werden Schlüssel gespeichert. Hierbei handelt es sich um eine physische Schutzschicht für kryptografische Schlüssel. Der kryptografische Schlüssel kann ein physisches HSM nicht verlassen, sodass dieser einen höheren Schutz als ein Softwareschlüssel bietet. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel müssen den angegebenen kryptografischen Typ (RSA oder EC) aufweisen | Für einige Anwendungen ist die Verwendung von Schlüsseln erforderlich, die auf einem bestimmten kryptografischen Typ beruhen. Hiermit erzwingen Sie in Ihrer Umgebung einen bestimmten kryptografischen Schlüsseltyp: RSA oder EC. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel sollten eine Rotationsrichtlinie haben, die sicherstellt, dass ihre Rotation innerhalb der angegebenen Anzahl von Tagen nach der Erstellung geplant ist. | Verwalten Sie Ihre organisatorischen Complianceanforderungen, indem Sie die maximale Anzahl von Tagen nach der Schlüsselerstellung festlegen, bis der Schlüssel rotiert werden muss. | Audit, Disabled | 1.0.0 |
| Für Schlüssel müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen | Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Schlüssel innerhalb Ihres Schlüsseltresors gültig sein darf. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein | Geben Sie die Anzahl von Tagen an, die ein Schlüssel aktiv sein soll. Schlüssel, die für einen längeren Zeitraum verwendet werden, erhöhen die Wahrscheinlichkeit, dass ein Angreifer den Schlüssel kompromittieren könnte. Stellen Sie als bewährte Sicherheitsmaßnahme sicher, dass Ihre Schlüssel nicht länger als zwei Jahre aktiv waren. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel mit Kryptografie für elliptische Kurve müssen die angegebenen Kurvennamen verwenden | Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel mit RSA-Kryptografie müssen eine angegebene Mindestgröße für Schlüssel aufweisen | Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. | Audit, Deny, Disabled | 1.0.1 |
| In einem verwalteten Azure Key Vault-HSM müssen Ressourcenprotokolle aktiviert sein | Sie können eine Überwachung durchführen, indem Sie Ressourcenprotokolle für verwaltete HSMs aktivieren. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. Befolgen Sie die hier aufgeführten Anweisungen: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| Festlegen des Inhaltstyps für Geheimnisse erforderlich | Mithilfe eines Inhaltstyptags können Sie identifizieren, ob ein Geheimnis ein Kennwort, eine Verbindungszeichenfolge usw. ist. Andere Geheimnisse haben andere Rotationsanforderungen. Das Inhaltstyptag sollte für Geheimnisse festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
| Für Geheimnisse müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen | Wenn sich ein Geheimnis zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Geheimnisses zu einem Ausfall kommen. Geheimnisse sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1 |
| Geheimnisse müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Geheimnis innerhalb Ihres Schlüsseltresors gültig sein darf. | Audit, Deny, Disabled | 1.0.1 |
| Geheimnisse dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein | Wenn Ihre Geheimnisse mit einem in der Zukunft liegenden Aktivierungsdatum erstellt wurden, müssen Sie sicherstellen, dass Ihre Geheimnisse nicht länger als für die angegebene Dauer aktiv sind. | Audit, Deny, Disabled | 1.0.1 |
Key Vault (Objekte)
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem benutzerdefinierte oder interne Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. | Audit, Deny, Disabled | 1.0.0-preview |
| Zertifikate müssen von der angegebenen integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die in Azure integrierten Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. Beispiel: Digicert oder GlobalSign. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate müssen von der angegebenen nicht integrierten Zertifizierungsstelle ausgestellt werden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die benutzerdefinierten oder internen Zertifizierungsstellen angegeben werden, die Zertifikate in Ihrem Schlüsseltresor ausstellen können. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.1 |
| Zertifikate müssen die angegebenen Aktionstrigger für die Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem angegeben wird, ob nach Ablauf eines bestimmten Prozentsatzes der Zertifikatlaufzeit oder bei Erreichen einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats eine Aktion zur Zertifikatlebensdauer ausgelöst wird. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
| Zertifikate dürfen nicht innerhalb der angegebenen Anzahl von Tagen ablaufen | Hiermit werden Zertifikate verwaltet, die innerhalb einer angegebenen Anzahl von Tagen ablaufen. So wird sichergestellt, dass Ihre Organisation über genügend Zeit verfügt, vor Ablauf des Zertifikats eine Rotation durchzuführen. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.1 |
| Zertifikate müssen zulässige Schlüsseltypen verwenden | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die für Zertifikate zulässigen Schlüsseltypen eingeschränkt werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate mit Kryptografie für elliptische Kurve müssen zulässige Kurvennamen verwenden | Hiermit werden die zulässigen Kurvennamen für ECC-Zertifikate verwaltet, die im Schlüsseltresor gespeichert sind. Weitere Informationen finden Sie unter https://aka.ms/akvpolicy. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Zertifikate mit Verwendung von RSA-Kryptografie müssen die angegebene Mindestgröße für Schlüssel aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem eine mindestens erforderliche Schlüsselgröße für RSA-Zertifikate angegeben wird, die in Ihrem Schlüsseltresor gespeichert sind. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.1.0 |
| Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
| Schlüssel müssen durch ein Hardwaresicherheitsmodul (HSM) gesichert werden | Mit einem Hardwaresicherheitsmodul (HSM) werden Schlüssel gespeichert. Hierbei handelt es sich um eine physische Schutzschicht für kryptografische Schlüssel. Der kryptografische Schlüssel kann ein physisches HSM nicht verlassen, sodass dieser einen höheren Schutz als ein Softwareschlüssel bietet. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel müssen den angegebenen kryptografischen Typ (RSA oder EC) aufweisen | Für einige Anwendungen ist die Verwendung von Schlüsseln erforderlich, die auf einem bestimmten kryptografischen Typ beruhen. Hiermit erzwingen Sie in Ihrer Umgebung einen bestimmten kryptografischen Schlüsseltyp: RSA oder EC. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel sollten eine Rotationsrichtlinie haben, die sicherstellt, dass ihre Rotation innerhalb der angegebenen Anzahl von Tagen nach der Erstellung geplant ist. | Verwalten Sie Ihre organisatorischen Complianceanforderungen, indem Sie die maximale Anzahl von Tagen nach der Schlüsselerstellung festlegen, bis der Schlüssel rotiert werden muss. | Audit, Disabled | 1.0.0 |
| Für Schlüssel müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen | Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Schlüssel innerhalb Ihres Schlüsseltresors gültig sein darf. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein | Geben Sie die Anzahl von Tagen an, die ein Schlüssel aktiv sein soll. Schlüssel, die für einen längeren Zeitraum verwendet werden, erhöhen die Wahrscheinlichkeit, dass ein Angreifer den Schlüssel kompromittieren könnte. Stellen Sie als bewährte Sicherheitsmaßnahme sicher, dass Ihre Schlüssel nicht länger als zwei Jahre aktiv waren. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel mit Kryptografie für elliptische Kurve müssen die angegebenen Kurvennamen verwenden | Schlüssel, die durch Kryptografie für elliptische Kurve gesichert sind, können andere Kurvennamen besitzen. Einige Anwendungen sind nur mit bestimmten elliptischen Kurvenschlüsseln kompatibel. Erzwingen Sie die Typen elliptischer Kurvenschlüssel, die für die Erstellung in Ihrer Umgebung zugelassen sind. | Audit, Deny, Disabled | 1.0.1 |
| Schlüssel mit RSA-Kryptografie müssen eine angegebene Mindestgröße für Schlüssel aufweisen | Legen Sie die zulässige Mindestschlüsselgröße fest, die mit ihren Schlüsseltresoren verwendet werden kann. Die Verwendung kleiner RSA-Schlüssel ist kein sicheres Verfahren und verstößt gegen viele Zertifizierungsanforderungen nach Industriestandard. | Audit, Deny, Disabled | 1.0.1 |
| Festlegen des Inhaltstyps für Geheimnisse erforderlich | Mithilfe eines Inhaltstyptags können Sie identifizieren, ob ein Geheimnis ein Kennwort, eine Verbindungszeichenfolge usw. ist. Andere Geheimnisse haben andere Rotationsanforderungen. Das Inhaltstyptag sollte für Geheimnisse festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
| Für Geheimnisse müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen | Wenn sich ein Geheimnis zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Geheimnisses zu einem Ausfall kommen. Geheimnisse sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. | Audit, Deny, Disabled | 1.0.1 |
| Geheimnisse müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne in Tagen angegeben wird, für die ein Geheimnis innerhalb Ihres Schlüsseltresors gültig sein darf. | Audit, Deny, Disabled | 1.0.1 |
| Geheimnisse dürfen nicht länger als die angegebene Anzahl von Tagen aktiv sein | Wenn Ihre Geheimnisse mit einem in der Zukunft liegenden Aktivierungsdatum erstellt wurden, müssen Sie sicherstellen, dass Ihre Geheimnisse nicht länger als für die angegebene Dauer aktiv sind. | Audit, Deny, Disabled | 1.0.1 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.