Definiciones integradas de Azure Policy para Key Vault
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Key Vault. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Key Vault (servicio)
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[Versión preliminar]: HSM administrado de Azure Key Vault debe deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
[Versión preliminar]: HSM administrado de Azure Key Vault debe usar un vínculo privado | Private Link proporciona una manera de conectar HSM administrado de Azure Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
[versión preliminar]: Una de las entidades de certificación no integradas especificadas debe emitir certificados | Administre los requisitos de cumplimiento de la organización especificando entidades de certificación personalizadas o internas que pueden emitir certificados en el almacén de claves. | Audit, Deny, Disabled | 1.0.0-preview |
[Versión preliminar]: configuración del HSM administrado de Azure Key Vault para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificar, Deshabilitado | 2.0.0-preview |
[Versión preliminar]: configuración de HSM administrado de Azure Key Vault con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a HSM administrado de Azure Key Vault, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
El HSM administrado de Azure Key Vault debe tener habilitada la protección contra purgas. | La eliminación malintencionada de un HSM administrado de Azure Key Vault puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar HSM administrados de Azure Key Vault. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para HSM administrados de Azure Key Vault eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar HSM administrados de Azure Key Vault durante el período de retención de eliminación temporal. | Audit, Deny, Disabled | 1.0.0 |
Azure Key Vault debe deshabilitar el acceso de red público. | Deshabilite el acceso de red público para el almacén de claves de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Azure Key Vault debe usar el modelo de permisos RBAC | Habilite el modelo de permisos de RBAC en Key Vaults. Más información en: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Los certificados debe emitirlos la entidad de certificación integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación integradas de Azure que pueden emitir certificados en el almacén de claves, como DigiCert o GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados debe emitirlos la entidad de certificación no integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique una entidad de certificación interna o personalizada que pueda emitir certificados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Los certificados deben disponer de los desencadenadores de acciones de duración que se hayan especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique si se desencadenará una acción de duración del certificado cuando se alcance un porcentaje determinado de duración o un número determinado de días antes de la expiración. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
Los certificados no deben expirar en el transcurso del número de días que se haya especificado | Administre los certificados que expirarán en el transcurso del número de días que se haya especificado para asegurarse de que su organización disponga de tiempo suficiente para la rotación del certificado antes de la expiración. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Los certificados deben utilizar tipos de clave admitidos | Administre los requisitos de cumplimiento de su organización. Para ello, restrinja los tipos de clave admitidos para los certificados. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados que usan la criptografía de curva elíptica deben tener nombres de curva admitidos | Administre los nombres de curva elíptica permitidos para los certificados ECC guardados en el almacén de claves. Dispone de más información en https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique un tamaño mínimo de clave para los certificados RSA guardados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Configurar instancias de Azure Key Vault con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
Configurar almacenes de claves para habilitar el firewall | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. A continuación, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificar, Deshabilitado | 1.1.1 |
Implementación: configurar las opciones de diagnóstico de Azure Key Vault en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de Azure Key Vault para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Key Vault a la que le falta esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.1 |
Implementar: realizar la configuración de diagnóstico en un área de trabajo de Log Analytics para que se habilite en el HSM administrado de Azure Key Vault | Permite implementar la configuración de diagnóstico en un HSM administrado de Azure Key Vault para que la transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
Implementar: realizar la configuración de diagnóstico en un centro de eventos para que se habilite en el HSM administrado de Azure Key Vault | Permite implementar la configuración de diagnóstico en el HSM administrado de Azure Key Vault para que se transmita a un centro de eventos regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
Implementar la configuración de diagnóstico para Key Vault en el Centro de eventos | Implementa la configuración de diagnóstico para que Key Vault se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 3.0.1 |
Implementar la configuración de diagnóstico para Key Vault en un área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Key Vault se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 3.0.0 |
Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para almacenes de claves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para almacenes de claves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para almacenes de claves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para HSM administrados (microsoft.keyvault/managedhsms) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para HSM administrados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Habilitación del registro por grupo de categorías para HSM administrados (microsoft.keyvault/managedhsms) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para HSM administrados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para HSM administrados (microsoft.keyvault/managedhsms) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para HSM administrados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 3.0.0 |
Las claves deben estar respaldadas por un módulo de seguridad de hardware (HSM) | Un HSM es un módulo de seguridad de hardware que almacena claves. Un HSM proporciona una capa física de protección para las claves criptográficas. La clave criptográfica no puede salir de un HSM físico que proporciona un mayor nivel de seguridad que una clave de software. | Audit, Deny, Disabled | 1.0.1 |
Las claves deben ser del tipo criptográfico especificado, RSA o EC | Algunas aplicaciones requieren el uso de claves respaldadas por un tipo criptográfico específico. Aplique un tipo de clave criptográfica (ya sea RSA o EC) determinado en su entorno. | Audit, Deny, Disabled | 1.0.1 |
Las claves deben tener una directiva de rotación que garantice que su rotación esté programada en el número de días especificado después de la creación. | Especifique el número máximo de días después de la creación de claves hasta que se deba rotar para administrar los requisitos de cumplimiento de la organización. | Audit, Disabled | 1.0.0 |
Las claves deben tener más días que los especificados en la expiración | Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1 |
Las claves deben tener un período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que una clave puede ser válido en el almacén de claves. | Audit, Deny, Disabled | 1.0.1 |
Las claves no deben estar activas durante más tiempo que el número especificado de días | Especifique el número de días que debe estar activa una clave. Las claves que se usan durante un período de tiempo prolongado aumentan la probabilidad de que un atacante pueda ponerlas en peligro. Por ello, se recomienda como práctica de seguridad que las claves no estén activas durante más de dos años. | Audit, Deny, Disabled | 1.0.1 |
Las claves que usan criptografía de curva elíptica deben tener especificados los nombres de curva | Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. | Audit, Deny, Disabled | 1.0.1 |
Las claves que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. | Audit, Deny, Disabled | 1.0.1 |
Los registros de recursos del HSM administrado de Azure Key Vault deben estar habilitados. | Para volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o cuando la red se ve comprometida, es posible que desee realizar auditorías habilitando los registros de recursos en HSM administrados. Siga las instrucciones que encontrará aquí: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Los secretos deben tener establecido el tipo de contenido | Una etiqueta de tipo de contenido le permitirá identificar si un secreto es una contraseña, una cadena de conexión, etc. Los distintos secretos tienen diferentes requisitos de rotación. La etiqueta de tipo de contenido debe establecerse en secretos. | Audit, Deny, Disabled | 1.0.1 |
Los secretos deben tener más días que los especificados en la expiración | Si un secreto está demasiado cerca de la expiración, un retraso de la organización para rotar el secreto puede producir una interrupción. Los secretos se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1 |
Los secretos deben tener un período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que un secreto puede ser válido en el almacén de claves. | Audit, Deny, Disabled | 1.0.1 |
Los secretos no deben estar activos durante más tiempo que el número especificado de días | Si los secretos se crearon con una fecha de activación establecida en el futuro, debe asegurarse de que esos secretos no hayan estado activos durante más tiempo del especificado. | Audit, Deny, Disabled | 1.0.1 |
Key Vault (objetos)
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[versión preliminar]: Una de las entidades de certificación no integradas especificadas debe emitir certificados | Administre los requisitos de cumplimiento de la organización especificando entidades de certificación personalizadas o internas que pueden emitir certificados en el almacén de claves. | Audit, Deny, Disabled | 1.0.0-preview |
Los certificados debe emitirlos la entidad de certificación integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación integradas de Azure que pueden emitir certificados en el almacén de claves, como DigiCert o GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados debe emitirlos la entidad de certificación no integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique una entidad de certificación interna o personalizada que pueda emitir certificados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Los certificados deben disponer de los desencadenadores de acciones de duración que se hayan especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique si se desencadenará una acción de duración del certificado cuando se alcance un porcentaje determinado de duración o un número determinado de días antes de la expiración. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
Los certificados no deben expirar en el transcurso del número de días que se haya especificado | Administre los certificados que expirarán en el transcurso del número de días que se haya especificado para asegurarse de que su organización disponga de tiempo suficiente para la rotación del certificado antes de la expiración. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Los certificados deben utilizar tipos de clave admitidos | Administre los requisitos de cumplimiento de su organización. Para ello, restrinja los tipos de clave admitidos para los certificados. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados que usan la criptografía de curva elíptica deben tener nombres de curva admitidos | Administre los nombres de curva elíptica permitidos para los certificados ECC guardados en el almacén de claves. Dispone de más información en https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Los certificados que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique un tamaño mínimo de clave para los certificados RSA guardados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
Las claves deben estar respaldadas por un módulo de seguridad de hardware (HSM) | Un HSM es un módulo de seguridad de hardware que almacena claves. Un HSM proporciona una capa física de protección para las claves criptográficas. La clave criptográfica no puede salir de un HSM físico que proporciona un mayor nivel de seguridad que una clave de software. | Audit, Deny, Disabled | 1.0.1 |
Las claves deben ser del tipo criptográfico especificado, RSA o EC | Algunas aplicaciones requieren el uso de claves respaldadas por un tipo criptográfico específico. Aplique un tipo de clave criptográfica (ya sea RSA o EC) determinado en su entorno. | Audit, Deny, Disabled | 1.0.1 |
Las claves deben tener una directiva de rotación que garantice que su rotación esté programada en el número de días especificado después de la creación. | Especifique el número máximo de días después de la creación de claves hasta que se deba rotar para administrar los requisitos de cumplimiento de la organización. | Audit, Disabled | 1.0.0 |
Las claves deben tener más días que los especificados en la expiración | Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1 |
Las claves deben tener un período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que una clave puede ser válido en el almacén de claves. | Audit, Deny, Disabled | 1.0.1 |
Las claves no deben estar activas durante más tiempo que el número especificado de días | Especifique el número de días que debe estar activa una clave. Las claves que se usan durante un período de tiempo prolongado aumentan la probabilidad de que un atacante pueda ponerlas en peligro. Por ello, se recomienda como práctica de seguridad que las claves no estén activas durante más de dos años. | Audit, Deny, Disabled | 1.0.1 |
Las claves que usan criptografía de curva elíptica deben tener especificados los nombres de curva | Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. | Audit, Deny, Disabled | 1.0.1 |
Las claves que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. | Audit, Deny, Disabled | 1.0.1 |
Los secretos deben tener establecido el tipo de contenido | Una etiqueta de tipo de contenido le permitirá identificar si un secreto es una contraseña, una cadena de conexión, etc. Los distintos secretos tienen diferentes requisitos de rotación. La etiqueta de tipo de contenido debe establecerse en secretos. | Audit, Deny, Disabled | 1.0.1 |
Los secretos deben tener más días que los especificados en la expiración | Si un secreto está demasiado cerca de la expiración, un retraso de la organización para rotar el secreto puede producir una interrupción. Los secretos se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1 |
Los secretos deben tener un período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que un secreto puede ser válido en el almacén de claves. | Audit, Deny, Disabled | 1.0.1 |
Los secretos no deben estar activos durante más tiempo que el número especificado de días | Si los secretos se crearon con una fecha de activación establecida en el futuro, debe asegurarse de que esos secretos no hayan estado activos durante más tiempo del especificado. | Audit, Deny, Disabled | 1.0.1 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.