Definizioni predefinite di Criteri di Azure per Key Vault
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per Key Vault. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Key Vault (servizio)
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Modulo di protezione hardware gestito di Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Modulo di protezione hardware gestito di Azure Key Vault deve usare un collegamento privato | Il collegamento privato consente di connettere il modulo di protezione hardware gestito di Azure Key Vault alle risorse di Azure senza inviare traffico tramite Internet pubblico. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: I certificati devono essere rilasciati da una delle autorità di certificazione non integrate specificate | Gestire i requisiti di conformità dell'organizzazione specificando autorità di certificazione personalizzate o interne in grado di rilasciare certificati nell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il modulo di protezione hardware gestito di Azure Key Vault per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificare, Disabilitata | 2.0.0-preview |
| [Anteprima]: Configurare il modulo di protezione hardware gestito di Azure Key Vault con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al modulo di protezione hardware gestito di Azure Key Vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un insider malintenzionato nell'organizzazione può potenzialmente eliminare ed eliminare il modulo di protezione hardware gestito di Azure Key Vault. La protezione dall'eliminazione protegge l'utente dagli attacchi Insider applicando un periodo di conservazione obbligatorio per il modulo di protezione hardware gestito di Azure Key Vault eliminato temporaneamente. Nessuno all'interno dell'organizzazione o Microsoft sarà in grado di eliminare il modulo di protezione hardware gestito di Azure Key Vault durante il periodo di conservazione dell'eliminazione temporanea. | Audit, Deny, Disabled | 1.0.0 |
| Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'insieme di credenziali delle chiavi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault deve usare il modello di autorizzazione di controllo degli accessi in base al ruolo | Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Le istanze di Azure Key Vault devono usare collegamenti privati | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| I certificati devono essere rilasciati dall'autorità di certificazione integrata specificata | Consente di gestire i requisiti di conformità aziendali specificando le autorità di certificazione integrate in Azure che possono rilasciare certificati nell'insieme di credenziali delle chiavi, ad esempio Digicert o GlobalSign. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono essere rilasciati dall'autorità di certificazione non integrata specificata | Gestire i requisiti di conformità dell'organizzazione specificando un'autorità di certificazione personalizzata o interna in grado di rilasciare certificati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono contenere i trigger delle azioni specificate per la durata | Consente di gestire i requisiti di conformità aziendali specificando se un'azione relativa alla durata del certificato viene attivata in corrispondenza di una percentuale specifica della durata o di un determinato numero di giorni prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
| I certificati non devono scadere entro il numero di giorni specificato | Consente di gestire i certificati che scadranno entro un numero di giorni specificato per garantire che l'organizzazione disponga di tempo sufficiente per ruotare il certificato prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono usare i tipi di chiave consentiti | Consente di gestire i requisiti di conformità aziendali limitando i tipi di chiave consentiti per i certificati. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Per i certificati che usano la crittografia a curva ellittica sono necessari nomi di curva consentiti | Consente di gestire i nomi di curva ellittica consentiti per i certificati ECC archiviati nell'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvpolicy. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Consente di gestire i requisiti di conformità aziendali specificando le dimensioni minime della chiave per i certificati RSA archiviati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Configurare Azure Key Vault con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli insiemi di credenziali delle chiavi per abilitare il firewall | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. È quindi possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificare, Disabilitata | 1.1.1 |
| Distribuire - Configurare le impostazioni di diagnostica per Azure Key Vault nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Azure Key Vault per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando non è presente questa impostazione di diagnostica viene creata o aggiornata. | DeployIfNotExists, Disabled | 2.0.1 |
| Distribuisci: configurare le impostazioni di diagnostica in un'area di lavoro Log Analytics da abilitare nel modulo di protezione hardware gestito di Azure Key Vault | Distribuisce le impostazioni di diagnostica per il modulo di protezione hardware gestito di Azure Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando un modulo di protezione hardware gestito di Azure Key Vault mancante viene creato o aggiornato. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci: configurare le impostazioni di diagnostica in un hub eventi da abilitare nel modulo di protezione hardware gestito di Azure Key Vault | Distribuisce le impostazioni di diagnostica per il modulo di protezione hardware gestito di Azure Key Vault per lo streaming in un hub eventi a livello di area quando un modulo di protezione hardware gestito di Azure Key Vault mancante viene creato o aggiornato. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'hub eventi | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.1 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| Le chiavi devono essere supportate da un modulo di protezione hardware | Un modulo di protezione hardware è un modulo di sicurezza hardware che archivia le chiavi. Un modulo di protezione hardware fornisce un livello fisico di protezione per le chiavi crittografiche. La chiave crittografica non può lasciare un modulo di protezione hardware fisico che fornisce un livello di sicurezza maggiore rispetto a una chiave software. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono essere del tipo di crittografia specificato, RSA o a curva ellittica (ECC) | Per alcune applicazioni è necessario usare chiavi supportate da un tipo di crittografia specifico. Applicare uno specifico tipo di chiave di crittografia, RSA o ECC, nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono disporre di un criterio di rotazione per assicurarsi che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione. | Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato. | Audit, Disabled | 1.0.0 |
| Per le chiavi deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per le chiavi è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di una chiave, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi non devono essere attive per un periodo più lungo del numero di giorni specificato | Specificare il numero di giorni durante i quali una chiave deve essere attiva. Le chiavi usate per un periodo prolungato di tempo aumentano la probabilità che un utente malintenzionato possa comprometterle. Come procedura di sicurezza efficace, verificare che le chiavi non siano attive per più di due anni. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia a curva ellittica (ECC) devono avere i nomi di curva specificati | Le chiavi supportate dalla crittografia a curva ellittica possono avere nomi di curva diversi. Alcune applicazioni sono compatibili solo con chiavi a curva ellittica specifiche. Applicare i tipi di chiavi a curva ellittica che è consentito creare nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Impostare le dimensioni minime consentite per la chiave da usare con gli insiemi di credenziali delle chiavi. L'uso di chiavi RSA di piccole dimensioni non è una procedura sicura e non soddisfa numerosi requisiti di certificazione del settore. | Audit, Deny, Disabled | 1.0.1 |
| I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault | Per ricreare i percorsi di attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o quando la rete è compromessa, è consigliabile controllare abilitando i log delle risorse nei moduli di protezione hardware gestiti. Seguire le istruzioni riportate qui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Per i segreti deve essere impostato il tipo di contenuto | Un tag di tipo di contenuto consente di identificare se un segreto è una password, stringa di connessione e così via. I segreti diversi hanno requisiti di rotazione diversi. Il tag del tipo di contenuto deve essere impostato nei segreti. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se un segreto è troppo vicino alla scadenza, un ritardo dell'organizzazione nel ruotarlo può generare un'interruzione. I segreti devono essere ruotati un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un segreto, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| I segreti non devono essere attivi per un periodo più lungo del numero di giorni specificato | Se i segreti sono stati creati con una data di attivazione impostata nel futuro, è necessario assicurarsi che i segreti non siano stati attivi per un periodo maggiore rispetto alla durata specificata. | Audit, Deny, Disabled | 1.0.1 |
Key Vault (oggetti)
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I certificati devono essere rilasciati da una delle autorità di certificazione non integrate specificate | Gestire i requisiti di conformità dell'organizzazione specificando autorità di certificazione personalizzate o interne in grado di rilasciare certificati nell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0-preview |
| I certificati devono essere rilasciati dall'autorità di certificazione integrata specificata | Consente di gestire i requisiti di conformità aziendali specificando le autorità di certificazione integrate in Azure che possono rilasciare certificati nell'insieme di credenziali delle chiavi, ad esempio Digicert o GlobalSign. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono essere rilasciati dall'autorità di certificazione non integrata specificata | Gestire i requisiti di conformità dell'organizzazione specificando un'autorità di certificazione personalizzata o interna in grado di rilasciare certificati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono contenere i trigger delle azioni specificate per la durata | Consente di gestire i requisiti di conformità aziendali specificando se un'azione relativa alla durata del certificato viene attivata in corrispondenza di una percentuale specifica della durata o di un determinato numero di giorni prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
| I certificati non devono scadere entro il numero di giorni specificato | Consente di gestire i certificati che scadranno entro un numero di giorni specificato per garantire che l'organizzazione disponga di tempo sufficiente per ruotare il certificato prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono usare i tipi di chiave consentiti | Consente di gestire i requisiti di conformità aziendali limitando i tipi di chiave consentiti per i certificati. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Per i certificati che usano la crittografia a curva ellittica sono necessari nomi di curva consentiti | Consente di gestire i nomi di curva ellittica consentiti per i certificati ECC archiviati nell'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvpolicy. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Consente di gestire i requisiti di conformità aziendali specificando le dimensioni minime della chiave per i certificati RSA archiviati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| Le chiavi devono essere supportate da un modulo di protezione hardware | Un modulo di protezione hardware è un modulo di sicurezza hardware che archivia le chiavi. Un modulo di protezione hardware fornisce un livello fisico di protezione per le chiavi crittografiche. La chiave crittografica non può lasciare un modulo di protezione hardware fisico che fornisce un livello di sicurezza maggiore rispetto a una chiave software. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono essere del tipo di crittografia specificato, RSA o a curva ellittica (ECC) | Per alcune applicazioni è necessario usare chiavi supportate da un tipo di crittografia specifico. Applicare uno specifico tipo di chiave di crittografia, RSA o ECC, nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono disporre di un criterio di rotazione per assicurarsi che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione. | Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato. | Audit, Disabled | 1.0.0 |
| Per le chiavi deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per le chiavi è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di una chiave, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi non devono essere attive per un periodo più lungo del numero di giorni specificato | Specificare il numero di giorni durante i quali una chiave deve essere attiva. Le chiavi usate per un periodo prolungato di tempo aumentano la probabilità che un utente malintenzionato possa comprometterle. Come procedura di sicurezza efficace, verificare che le chiavi non siano attive per più di due anni. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia a curva ellittica (ECC) devono avere i nomi di curva specificati | Le chiavi supportate dalla crittografia a curva ellittica possono avere nomi di curva diversi. Alcune applicazioni sono compatibili solo con chiavi a curva ellittica specifiche. Applicare i tipi di chiavi a curva ellittica che è consentito creare nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Impostare le dimensioni minime consentite per la chiave da usare con gli insiemi di credenziali delle chiavi. L'uso di chiavi RSA di piccole dimensioni non è una procedura sicura e non soddisfa numerosi requisiti di certificazione del settore. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti deve essere impostato il tipo di contenuto | Un tag di tipo di contenuto consente di identificare se un segreto è una password, stringa di connessione e così via. I segreti diversi hanno requisiti di rotazione diversi. Il tag del tipo di contenuto deve essere impostato nei segreti. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se un segreto è troppo vicino alla scadenza, un ritardo dell'organizzazione nel ruotarlo può generare un'interruzione. I segreti devono essere ruotati un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un segreto, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| I segreti non devono essere attivi per un periodo più lungo del numero di giorni specificato | Se i segreti sono stati creati con una data di attivazione impostata nel futuro, è necessario assicurarsi che i segreti non siano stati attivi per un periodo maggiore rispetto alla durata specificata. | Audit, Deny, Disabled | 1.0.1 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.