Définitions intégrées d’Azure Policy pour Key Vault
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Key Vault. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Key Vault (service)
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les HSM gérés par Azure Key Vault doivent désactiver l’accès réseau public | Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les HSM gérés par Azure Key Vault doivent utiliser une liaison privée | La liaison privée permet de connecter un HSM managé par le Coffre de clés Azure à vos ressources Azure sans envoyer de trafic sur l’Internet public. Un lien privé assure une protection en profondeur contre l’exfiltration des données. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : Les certificats doivent être émis par l’une des autorités de certification non intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification personnalisées ou internes qui peuvent émettre des certificats dans votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer un module de sécurité matériel (HSM) managé par Azure Key Vault pour désactiver l’accès réseau public | Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modifier, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer un HSM géré par Azure Key Vault avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un HSM managé par le Coffre de clés Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault | La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Key Vault doit désactiver l’accès réseau public | Désactivez l’accès réseau public pour que votre coffre de clés ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. | Audit, Refuser, Désactivé | 1.1.0 |
| Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
| Azure Key Vault doit utiliser le modèle d’autorisation RBAC | Activez le modèle d’autorisation RBAC sur les coffres de clés. Plus d’informations sur : https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Refuser, Désactivé | 1.0.1 |
| Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Les certificats doivent être émis par l’autorité de certification intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification intégrées à Azure qui peuvent émettre des certificats dans votre coffre de clés, comme DigiCert ou GlobalSign. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats doivent être émis par l’autorité de certification non intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités d’une certification personnalisée ou interne qui peuvent émettre des certificats dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.1.1 |
| Les certificats doivent avoir les déclencheurs d’action de durée de vie spécifiés | Gérez les exigences en matière de conformité de votre organisation en spécifiant si une action de durée de vie de certificat est déclenchée à un pourcentage spécifique de sa durée de vie ou un certain nombre de jours avant son expiration. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Les certificats ne doivent pas expirer pendant le nombre de jours spécifié | Gérez les certificats qui arrivent à expiration dans un nombre de jours spécifié pour que votre organisation ait suffisamment le temps de les remplacer. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.1.1 |
| Les certificats doivent utiliser des types de clés autorisés | Gérez les exigences en matière de conformité de votre organisation en restreignant les types de clés autorisés pour les certificats. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats utilisant le chiffrement à courbe elliptique doivent avoir des noms de courbe autorisés | Gérer les noms de courbe elliptique autorisés pour les certificats ECC stockés dans le coffre de clés. D’autres informations sont disponibles ici : https://aka.ms/akvpolicy. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La taille de clé minimale doit être spécifiée pour les certificats utilisant le chiffrement RSA | Gérez les exigences en matière de conformité de votre organisation en spécifiant une taille de clé minimale pour les certificats RSA stockés dans votre coffre de clés. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Configurer les coffres de clés Azure avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les coffres de clés pour activer le pare-feu | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez ensuite configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Modifier, Désactivé | 1.1.1 |
| Déployer - Configurer les paramètres de diagnostic d’Azure Key Vault dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’Azure Key Vault pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 2.0.1 |
| Déployer - Configurer les paramètres de diagnostic sur un espace de travail Log Analytics à activer sur un HSM managé par Azure Key Vault | Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer - Configurer les paramètres de diagnostic sur un hub d’événements à activer sur un HSM managé par Azure Key Vault | Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un hub d’événements régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer les paramètres de diagnostic de Key Vault sur Event Hub | Déploie les paramètres de diagnostic de Key Vault pour les envoyer en streaming dans un hub d’événements régional sur tout coffre de clés nouveau ou mis à jour pour lequel les paramètres de diagnostic sont manquants. | DeployIfNotExists, Désactivé | 3.0.1 |
| Déployer les paramètres de diagnostic de Key Vault sur l’espace de travail Log Analytics | Déploie les paramètres de diagnostic de Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. | DeployIfNotExists, Désactivé | 3.0.0 |
| Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les coffres de clés (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les coffres de clés (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les coffres de clés (microsoft.keyvault/vaults) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les coffres de clés (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers Event Hub pour les modules HSM gérés (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un espace de travail Log Analytics pour les modules HSM gérés (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Activer la journalisation par groupe de catégories pour les modules HSM gérés (microsoft.keyvault/managedhsms) dans Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de stockage pour les modules HSM gérés (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| Key Vault doit utiliser un point de terminaison de service de réseau virtuel | Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. | Audit, Désactivé | 1.0.0 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| Les clés doivent être adossées à un module de sécurité matériel ou HSM | Un HSM est un module de sécurité matériel qui stocke des clés. Un HSM fournit une couche physique de protection des clés de chiffrement. La clé de chiffrement ne peut pas quitter un HSM physique, ce qui offre un niveau de sécurité supérieur à celui d’une clé logicielle. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés doivent être du type de chiffrement spécifié, RSA ou EC | Certaines applications requièrent l’utilisation de clés utilisant un type de chiffrement spécifique. Appliquez un type de clé de chiffrement particulier, RSA ou EC, dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés doivent avoir une stratégie de rotation garantissant que leur rotation est planifiée pour le nombre de jours spécifié après leur création. | Gérez les exigences de conformité de votre organisation en spécifiant le nombre maximal de jours qui sépare la création de la clé de son pivotement. | Audit, Désactivé | 1.0.0 |
| Les clés doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration | Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1 |
| La période de validité maximale doit être spécifiée pour les clés | Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels une clé peut être valide au sein de votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés ne doivent pas être actives pendant une durée supérieure au nombre de jours spécifié | Spécifiez le nombre de jours pendant lesquels une clé doit être active. Les clés utilisées pendant une période prolongée augmentent la probabilité qu’une personne malveillante puisse les compromettre. En guise de bonne pratique de sécurité, assurez-vous que vos clés n’ont pas été actives pendant plus de deux ans. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés utilisant un chiffrement à courbe elliptique doivent avoir les noms de courbes spécifiés | Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés utilisant le chiffrement RSA doivent avoir une taille minimale spécifiée | Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. | Audit, Refuser, Désactivé | 1.0.1 |
| Les journaux de ressource dans les HSM managés par Azure Key Vault doivent être activés | Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les secrets doivent avoir un type de contenu défini | Une étiquette de type de contenu permet d’identifier si une clé secrète est un mot de passe, une chaîne de connexion, etc. Différents secrets ont différentes exigences de rotation. L’étiquette de type de contenu doit être définie sur secrets. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration | Si un secret a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation du secret peut occasionner une interruption. Les secrets doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1 |
| La période de validité maximale doit être spécifiée pour les secrets | Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels un secret peut être valide au sein de votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets ne doivent pas être actifs pendant une période plus longue que le nombre spécifié de jours | Si vos secrets ont été créés avec une date d’activation définie à l’avenir, vous devez vous assurer que vos secrets n’ont pas été actifs plus longtemps que la durée spécifiée. | Audit, Refuser, Désactivé | 1.0.1 |
Key Vault (objets)
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : Les certificats doivent être émis par l’une des autorités de certification non intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification personnalisées ou internes qui peuvent émettre des certificats dans votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les certificats doivent être émis par l’autorité de certification intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification intégrées à Azure qui peuvent émettre des certificats dans votre coffre de clés, comme DigiCert ou GlobalSign. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats doivent être émis par l’autorité de certification non intégrée spécifiée | Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités d’une certification personnalisée ou interne qui peuvent émettre des certificats dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.1.1 |
| Les certificats doivent avoir les déclencheurs d’action de durée de vie spécifiés | Gérez les exigences en matière de conformité de votre organisation en spécifiant si une action de durée de vie de certificat est déclenchée à un pourcentage spécifique de sa durée de vie ou un certain nombre de jours avant son expiration. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Les certificats ne doivent pas expirer pendant le nombre de jours spécifié | Gérez les certificats qui arrivent à expiration dans un nombre de jours spécifié pour que votre organisation ait suffisamment le temps de les remplacer. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.1.1 |
| Les certificats doivent utiliser des types de clés autorisés | Gérez les exigences en matière de conformité de votre organisation en restreignant les types de clés autorisés pour les certificats. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les certificats utilisant le chiffrement à courbe elliptique doivent avoir des noms de courbe autorisés | Gérer les noms de courbe elliptique autorisés pour les certificats ECC stockés dans le coffre de clés. D’autres informations sont disponibles ici : https://aka.ms/akvpolicy. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| La taille de clé minimale doit être spécifiée pour les certificats utilisant le chiffrement RSA | Gérez les exigences en matière de conformité de votre organisation en spécifiant une taille de clé minimale pour les certificats RSA stockés dans votre coffre de clés. | audit, audit, refus, refus, désactivé, désactivé | 2.1.0 |
| Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| Les clés doivent être adossées à un module de sécurité matériel ou HSM | Un HSM est un module de sécurité matériel qui stocke des clés. Un HSM fournit une couche physique de protection des clés de chiffrement. La clé de chiffrement ne peut pas quitter un HSM physique, ce qui offre un niveau de sécurité supérieur à celui d’une clé logicielle. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés doivent être du type de chiffrement spécifié, RSA ou EC | Certaines applications requièrent l’utilisation de clés utilisant un type de chiffrement spécifique. Appliquez un type de clé de chiffrement particulier, RSA ou EC, dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés doivent avoir une stratégie de rotation garantissant que leur rotation est planifiée pour le nombre de jours spécifié après leur création. | Gérez les exigences de conformité de votre organisation en spécifiant le nombre maximal de jours qui sépare la création de la clé de son pivotement. | Audit, Désactivé | 1.0.0 |
| Les clés doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration | Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1 |
| La période de validité maximale doit être spécifiée pour les clés | Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels une clé peut être valide au sein de votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés ne doivent pas être actives pendant une durée supérieure au nombre de jours spécifié | Spécifiez le nombre de jours pendant lesquels une clé doit être active. Les clés utilisées pendant une période prolongée augmentent la probabilité qu’une personne malveillante puisse les compromettre. En guise de bonne pratique de sécurité, assurez-vous que vos clés n’ont pas été actives pendant plus de deux ans. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés utilisant un chiffrement à courbe elliptique doivent avoir les noms de courbes spécifiés | Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clés utilisant le chiffrement RSA doivent avoir une taille minimale spécifiée | Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets doivent avoir un type de contenu défini | Une étiquette de type de contenu permet d’identifier si une clé secrète est un mot de passe, une chaîne de connexion, etc. Différents secrets ont différentes exigences de rotation. L’étiquette de type de contenu doit être définie sur secrets. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration | Si un secret a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation du secret peut occasionner une interruption. Les secrets doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. | Audit, Refuser, Désactivé | 1.0.1 |
| La période de validité maximale doit être spécifiée pour les secrets | Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels un secret peut être valide au sein de votre coffre de clés. | Audit, Refuser, Désactivé | 1.0.1 |
| Les secrets ne doivent pas être actifs pendant une période plus longue que le nombre spécifié de jours | Si vos secrets ont été créés avec une date d’activation définie à l’avenir, vous devez vous assurer que vos secrets n’ont pas été actifs plus longtemps que la durée spécifiée. | Audit, Refuser, Désactivé | 1.0.1 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.