Definisi bawaan Azure Policy untuk Key Vault
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Key Vault. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Key Vault (layanan)
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
[Pratinjau]: Azure Key Vault Managed HSM harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure Key Vault Managed HSM Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Azure Key Vault Managed HSM harus menggunakan tautan privat | Tautan pribadi menyediakan cara untuk menghubungkan Azure Key Vault Managed HSM ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Sertifikat harus dikeluarkan oleh salah satu otoritas sertifikat yang tidak terintegrasi yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat kustom atau internal yang dapat menerbitkan sertifikat di brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Mengonfigurasikan Azure Key Vault Managed HSM untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure Key Vault Managed HSM Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Ubah, Non-fungsikan | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasikan Azure Key Vault Managed HSM dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Key Vault Managed HSM, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
Azure Key Vault yang Dikelola HSM harus mengaktifkan perlindungan hapus menyeluruh | Penghapusan berbahaya dari Azure Key Vault Terkelola HSM dapat menyebabkan hilangnya data permanen. Orang dalam jahat di organisasi Anda dapat berpotensi menghapus dan membersihkan Azure Key Vault Terkelola HSM. Perlindungan penghapusan melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk penghapusan sementara Azure Key Vault Terkelola HSM. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan Azure Key Vault Terkelola HSM Anda selama periode penyimpanan penghapusan sementara. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Azure Key Vault harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Azure Key Vault harus mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Tolak, Dinonaktifkan | 3.2.1 |
Azure Key Vault harus menggunakan model izin RBAC | Aktifkan model izin RBAC di seluruh Key Vault. Pelajari lebih lanjut di: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Sertifikat harus diterbitkan oleh otoritas sertifikat terintegrasi yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat terintegrasi Azure yang dapat menerbitkan sertifikat di brankas kunci, seperti Digicert atau GlobalSign. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat harus diterbitkan oleh otoritas sertifikat non-terintegrasi yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan satu otoritas sertifikat kustom atau internal yang dapat menerbitkan sertifikat di brankas kunci Anda. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.1 |
Sertifikat harus memiliki pemicu tindakan seumur hidup yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan apakah tindakan seumur hidup sertifikat dipicu pada persentase tertentu dari masa pakainya atau pada jumlah hari tertentu sebelum kedaluwarsa. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat harus memiliki masa berlaku maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.2.1 |
Sertifikat tidak boleh kedaluwarsa dalam jumlah hari yang ditetapkan | Kelola sertifikat yang akan kedaluwarsa dalam jumlah hari yang ditetapkan agar organisasi Anda memiliki cukup waktu untuk merotasi sertifikat sebelum kedaluwarsa. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.1 |
Sertifikat harus menggunakan jenis kunci yang diizinkan | Kelola persyaratan kepatuhan organisasi Anda dengan membatasi jenis kunci yang diizinkan untuk sertifikat. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat yang menggunakan kriptografi kurva elips harus memiliki nama kurva yang diizinkan | Kelola nama kurva elips yang diperbolehkan untuk Sertifikat ECC yang disimpan dalam brankas kunci. Informasi selengkapnya dapat ditemukan di https://aka.ms/akvpolicy. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menetapkan ukuran kunci minimum untuk sertifikat RSA yang disimpan di brankas kunci Anda. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Konfigurasikan Azure Key Vault dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | DeployIfNotExists, Nonaktif | 1.0.1 |
Konfigurasikan brankas kunci untuk mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Anda kemudian dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Ubah, Non-fungsikan | 1.1.1 |
Sebarkan - Konfigurasikan pengaturan diagnostik untuk Azure Key Vault ke ruang kerja Log Analytics | Menyebarkan pengaturan diagnostik pada Azure Key Vault untuk mengalirkan log sumber daya ke ruang kerja Log Analytics saat Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.1 |
Sebarkan - Konfigurasikan pengaturan diagnostik ke ruang kerja Log Analytics untuk diaktifkan di HSM Terkelola Azure Key Vault | Menyebarkan pengaturan diagnostik untuk HSM Terkelola Azure Key Vault untuk mengalirkan ke ruang kerja Analitik Log wilayah saat HSM Terkelola Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
Sebarkan - Konfigurasikan pengaturan diagnostik ke Hub Peristiwa untuk diaktifkan di HSM Terkelola Azure Key Vault | Menyebarkan pengaturan diagnostik pada HSM Terkelola Azure Key Vault untuk mengalirkan ke Hub Peristiwa regional saat HSM Terkelola Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
Menyebarkan Pengaturan Diagnostik untuk Azure Key Vault ke Event Hub | Menyebarkan pengaturan diagnostik pada Key Vault untuk mengalirkan ke Hub Peristiwa regional saat Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 3.0.1 |
Menyebarkan Pengaturan Diagnostik untuk Azure Key Vault ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure Key Vault untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 3.0.0 |
Mengaktifkan pengelogan menurut grup kategori untuk Brankas kunci (microsoft.keyvault/vaults) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Event Hub for Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.2.0 |
Mengaktifkan pengelogan menurut grup kategori untuk Brankas kunci (microsoft.keyvault/vaults) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Brankas kunci (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Mengaktifkan pengelogan menurut grup kategori untuk Key vault (microsoft.keyvault/vaults) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Key vault (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Mengaktifkan pengelogan menurut grup kategori untuk HSM Terkelola (microsoft.keyvault/managedhsms) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk HSM Terkelola (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.2.0 |
Mengaktifkan pengelogan menurut grup kategori untuk HSM Terkelola (microsoft.keyvault/managedhsms) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk HSM Terkelola (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Mengaktifkan pengelogan menurut grup kategori untuk HSM Terkelola (microsoft.keyvault/managedhsms) ke Penyimpanan | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk HSM Terkelola (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Key Vault harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Key Vault yang tidak dikonfigurasi untuk menggunakan endpoint layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
Brankas kunci harus mengaktifkan penghapusan sementara | Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
Kunci harus didukung oleh modul keamanan perangkat keras (HSM) | HSM adalah modul keamanan perangkat keras yang menyimpan kunci. HSM menyediakan lapisan perlindungan fisik untuk kunci kriptografi. Kunci kriptografi tidak dapat meninggalkan HSM fisik yang memberikan tingkat keamanan yang lebih besar daripada kunci perangkat lunak. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci harus berupa RSA atau EC jenis kriptografi yang ditentukan | Beberapa aplikasi memerlukan penggunaan kunci yang didukung oleh jenis kriptografi tertentu. Terapkan jenis kunci kriptografik tertentu, RSA atau EC, di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci harus memiliki kebijakan rotasi yang memastikan bahwa rotasinya dijadwalkan dalam jumlah hari yang ditentukan setelah pembuatan. | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah hari maksimum setelah pembuatan kunci hingga harus diputar. | Audit, Dinonaktifkan | 1.0.0 |
Kunci harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan | Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci harus memiliki periode validitas maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari kunci berstatus valid dalam brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci tidak boleh aktif lebih lama dari jumlah hari yang ditentukan | Tentukan jumlah hari untuk kunci harus aktif. Kunci yang digunakan untuk jangka waktu yang lama meningkatkan kemungkinan penyerang dapat menyusupi kunci. Sebagai praktik keamanan yang baik, pastikan kunci Anda tidak aktif lebih dari dua tahun. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci yang menggunakan kriptografi kurva eliptik harus memiliki nama kurva yang ditentukan | Kunci yang didukung oleh kriptografi kurva elips dapat memiliki nama kurva yang berbeda. Beberapa aplikasi hanya kompatibel dengan kunci kurva eliptik tertentu. Terapkan jenis kunci kurva eliptik yang diizinkan untuk dibuat di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Atur ukuran kunci minimum yang diperbolehkan untuk digunakan dengan brankas kunci Anda. Penggunaan kunci RSA dengan ukuran kunci kecil bukanlah praktik yang aman dan tidak memenuhi banyak persyaratan sertifikasi industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Log sumber daya di HSM Terkelola Azure Key Vault harus diaktifkan | Untuk membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi, Anda mungkin ingin mengaudit dengan mengaktifkan log sumber daya pada HSM Terkelola. Silakan ikuti instruksi di sini: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Rahasia harus memiliki jenis konten yang ditetapkan | Tag tipe konten membantu mengidentifikasi apakah rahasia adalah kata sandi, string koneksi, dll. Rahasia yang berbeda memiliki persyaratan rotasi yang berbeda. Tag jenis konten harus diatur pada rahasia. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan | Jika rahasia terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar rahasia dapat mengakibatkan ketidaktersediaan. Rahasia harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia harus memiliki periode validitas maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari rahasia berstatus valid dalam brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia tidak boleh aktif lebih lama dari jumlah hari yang ditentukan | Jika rahasia Anda telah dibuat dengan tanggal aktivasi yang ditetapkan di masa mendatang, Anda harus memastikan bahwa rahasia Anda tidak aktif lebih lama dari durasi yang ditentukan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Key Vault (objek)
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
[Pratinjau]: Sertifikat harus dikeluarkan oleh salah satu otoritas sertifikat yang tidak terintegrasi yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat kustom atau internal yang dapat menerbitkan sertifikat di brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
Sertifikat harus diterbitkan oleh otoritas sertifikat terintegrasi yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat terintegrasi Azure yang dapat menerbitkan sertifikat di brankas kunci, seperti Digicert atau GlobalSign. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat harus diterbitkan oleh otoritas sertifikat non-terintegrasi yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan satu otoritas sertifikat kustom atau internal yang dapat menerbitkan sertifikat di brankas kunci Anda. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.1 |
Sertifikat harus memiliki pemicu tindakan seumur hidup yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan apakah tindakan seumur hidup sertifikat dipicu pada persentase tertentu dari masa pakainya atau pada jumlah hari tertentu sebelum kedaluwarsa. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat harus memiliki masa berlaku maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.2.1 |
Sertifikat tidak boleh kedaluwarsa dalam jumlah hari yang ditetapkan | Kelola sertifikat yang akan kedaluwarsa dalam jumlah hari yang ditetapkan agar organisasi Anda memiliki cukup waktu untuk merotasi sertifikat sebelum kedaluwarsa. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.1 |
Sertifikat harus menggunakan jenis kunci yang diizinkan | Kelola persyaratan kepatuhan organisasi Anda dengan membatasi jenis kunci yang diizinkan untuk sertifikat. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat yang menggunakan kriptografi kurva elips harus memiliki nama kurva yang diizinkan | Kelola nama kurva elips yang diperbolehkan untuk Sertifikat ECC yang disimpan dalam brankas kunci. Informasi selengkapnya dapat ditemukan di https://aka.ms/akvpolicy. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Sertifikat yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menetapkan ukuran kunci minimum untuk sertifikat RSA yang disimpan di brankas kunci Anda. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Kunci harus didukung oleh modul keamanan perangkat keras (HSM) | HSM adalah modul keamanan perangkat keras yang menyimpan kunci. HSM menyediakan lapisan perlindungan fisik untuk kunci kriptografi. Kunci kriptografi tidak dapat meninggalkan HSM fisik yang memberikan tingkat keamanan yang lebih besar daripada kunci perangkat lunak. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci harus berupa RSA atau EC jenis kriptografi yang ditentukan | Beberapa aplikasi memerlukan penggunaan kunci yang didukung oleh jenis kriptografi tertentu. Terapkan jenis kunci kriptografik tertentu, RSA atau EC, di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci harus memiliki kebijakan rotasi yang memastikan bahwa rotasinya dijadwalkan dalam jumlah hari yang ditentukan setelah pembuatan. | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah hari maksimum setelah pembuatan kunci hingga harus diputar. | Audit, Dinonaktifkan | 1.0.0 |
Kunci harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan | Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci harus memiliki periode validitas maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari kunci berstatus valid dalam brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci tidak boleh aktif lebih lama dari jumlah hari yang ditentukan | Tentukan jumlah hari untuk kunci harus aktif. Kunci yang digunakan untuk jangka waktu yang lama meningkatkan kemungkinan penyerang dapat menyusupi kunci. Sebagai praktik keamanan yang baik, pastikan kunci Anda tidak aktif lebih dari dua tahun. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci yang menggunakan kriptografi kurva eliptik harus memiliki nama kurva yang ditentukan | Kunci yang didukung oleh kriptografi kurva elips dapat memiliki nama kurva yang berbeda. Beberapa aplikasi hanya kompatibel dengan kunci kurva eliptik tertentu. Terapkan jenis kunci kurva eliptik yang diizinkan untuk dibuat di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kunci yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Atur ukuran kunci minimum yang diperbolehkan untuk digunakan dengan brankas kunci Anda. Penggunaan kunci RSA dengan ukuran kunci kecil bukanlah praktik yang aman dan tidak memenuhi banyak persyaratan sertifikasi industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia harus memiliki jenis konten yang ditetapkan | Tag tipe konten membantu mengidentifikasi apakah rahasia adalah kata sandi, string koneksi, dll. Rahasia yang berbeda memiliki persyaratan rotasi yang berbeda. Tag jenis konten harus diatur pada rahasia. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan | Jika rahasia terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar rahasia dapat mengakibatkan ketidaktersediaan. Rahasia harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia harus memiliki periode validitas maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari rahasia berstatus valid dalam brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Rahasia tidak boleh aktif lebih lama dari jumlah hari yang ditentukan | Jika rahasia Anda telah dibuat dengan tanggal aktivasi yang ditetapkan di masa mendatang, Anda harus memastikan bahwa rahasia Anda tidak aktif lebih lama dari durasi yang ditentukan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.