Ingebouwde Azure Policy-definities voor Key Vault
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Key Vault. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Key Vault (service)
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Beheerde HSM van Azure Key Vault moet openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang voor uw beheerde HSM van Azure Key Vault uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Beheerde HSM van Azure Key Vault moet gebruikmaken van een privékoppeling | Private Link biedt een manier om azure Key Vault Managed HSM te verbinden met uw Azure-resources zonder verkeer via het openbare internet te verzenden. Een privékoppeling biedt uitgebreide beveiliging tegen gegevensexfiltratie. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Certificaten moeten worden uitgegeven door een van de opgegeven niet-geïntegreerde certificeringsinstanties | Beheer de nalevingsvereisten van uw organisatie door aangepaste of interne certificeringsinstanties op te geven die certificaten in uw sleutelkluis kunnen uitgeven. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Beheerde HSM van Azure Key Vault configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw beheerde HSM van Azure Key Vault uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Wijzigen, uitgeschakeld | 2.0.0-preview |
| [Preview]: Beheerde HSM van Azure Key Vault configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan beheerde HSM van Azure Key Vault, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| Beheerde HSM van Azure Key Vault moet beveiliging tegen opschonen zijn ingeschakeld | Het verwijderen van een door Azure Key Vault beheerde HSM kan leiden tot permanent gegevensverlies. Een kwaadwillende insider in uw organisatie kan azure Key Vault Managed HSM mogelijk verwijderen en opschonen. Beveiliging tegen opschonen beschermt u tegen insider-aanvallen door een verplichte bewaarperiode af te dwingen voor voorlopig verwijderde beheerde HSM van Azure Key Vault. Niemand binnen uw organisatie of Microsoft kan uw beheerde HSM van Azure Key Vault leegmaken tijdens de bewaarperiode voor voorlopig verwijderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Key Vault moet openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang voor uw sleutelkluis uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/akvprivatelink. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
| Azure Key Vault moet gebruikmaken van het RBAC-machtigingsmodel | RBAC-machtigingsmodel inschakelen in Key Vaults. Meer informatie vindt u op: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Certificaten moeten worden uitgegeven door de opgegeven geïntegreerde certificeringsinstantie | Beheer de nalevingsvereisten van uw organisatie door de geïntegreerde Azure-certificeringsinstanties op te geven die certificaten kunnen verlenen in uw sleutelkluis, zoals Digicert of GlobalSign. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten moeten worden uitgegeven door de opgegeven niet-geïntegreerde certificeringsinstantie | Beheer de nalevingsvereisten van uw organisatie door één aangepaste of interne certificeringsinstantie op te geven die certificaten in uw sleutelkluis kan uitgeven. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.1 |
| Voor certificaten moeten de opgegeven activeringen voor levensduuractie zijn ingevoerd | Beheer de nalevingsvereisten van uw organisatie door op te geven of een actie voor de levensduur van een certificaat wordt geactiveerd met een bepaald percentage van de levensduur of op een bepaald aantal dagen voordat de vervaldatum is verstreken. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten moeten de opgegeven maximale geldigheidsperiode hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.2.1 |
| Certificaten mogen niet binnen het opgegeven aantal dagen verlopen | Beheer certificaten die binnen een opgegeven aantal dagen verlopen, zodat uw organisatie voldoende tijd heeft om het certificaat te roteren voordat het verloopt. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.1 |
| Certificaten moeten toegestane sleuteltypen gebruiken | Beheer de nalevingsvereisten van uw organisatie door de toegestane sleuteltypen voor certificaten te beperken. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten die gebruikmaken van elliptische curve-cryptografie moeten toegestane curvenamen hebben | Beheer de toegestane elliptische curve-namen voor ECC-certificaten die zijn opgeslagen in de sleutelkluis. Meer informatie vindt u op https://aka.ms/akvpolicy. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten met RSA-cryptografie moeten de opgegeven minimale sleutelgrootte hebben | Beheer de nalevingsvereisten van uw organisatie door een minimale sleutelgrootte voor RSA-certificaten op te geven die zijn opgeslagen in uw sleutelkluis. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Azure Key Vaults configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Sleutelkluizen configureren om firewall in te schakelen | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. Vervolgens kunt u specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Wijzigen, uitgeschakeld | 1.1.1 |
| Implementeren - Diagnostische instellingen configureren voor Azure Key Vault naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Key Vault geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een Sleutelkluis waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.1 |
| Implementeren - Diagnostische instellingen configureren voor een Log Analytics-werkruimte die moet worden ingeschakeld in Azure Key Vault Managed HSM | Hiermee worden de diagnostische instellingen voor beheerde HSM van Azure Key Vault geïmplementeerd om te streamen naar een regionale Log Analytics-werkruimte wanneer een door Azure Key Vault beheerde HSM waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren- Diagnostische instellingen configureren voor een Event Hub die moet worden ingeschakeld in Azure Key Vault Managed HSM | Hiermee worden de diagnostische instellingen voor beheerde HSM van Azure Key Vault geïmplementeerd om te streamen naar een regionale Event Hub wanneer een beheerde HSM van Azure Key Vault waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen voor Key Vault toepassen op Event Hub | Hiermee worden de diagnostische instellingen voor Key Vault geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Key Vault waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 3.0.1 |
| Diagnostische instellingen implementeren voor Key Vault naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Key Vault geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Key Vault waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor sleutelkluizen (microsoft.keyvault/kluizen) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub voor Key Vaults (microsoft.keyvault/vaults) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor sleutelkluizen (microsoft.keyvault/kluizen) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Sleutelkluizen (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor sleutelkluizen (microsoft.keyvault/kluizen) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor sleutelkluizen (microsoft.keyvault/kluizen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor beheerde HSM's (microsoft.keyvault/managedhsms) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor beheerde HSM's (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor beheerde HSM's (microsoft.keyvault/managedhsms) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor beheerde HSM's (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor beheerde HSM's (microsoft.keyvault/managedhsms) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor beheerde HSM's (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Key Vault-sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Key Vault-geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Key Vault moet gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle exemplaren van Key Vault gecontroleerd die niet zijn geconfigureerd voor het gebruik van een virtuele-netwerkservice-eindpunt. | Controle, uitgeschakeld | 1.0.0 |
| Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Sleutels moeten worden ondersteund door een HSM (Hardware Security Module) | Een HSM is een hardwarebeveiligingsmodule waarin sleutels worden opgeslagen. Een HSM biedt een fysieke beveiligingslaag voor cryptografische sleutels. De cryptografische sleutel kan geen fysieke HSM verlaten die een grotere mate van beveiliging biedt dan een softwaresleutel. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten van het opgegeven cryptografische type RSA of EC zijn | Voor sommige toepassingen is het gebruik van sleutels vereist die door een specifiek cryptografisch type worden ondersteund. Dwing een bepaald cryptografisch sleuteltype in uw omgeving af, RSA of EC. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten een rotatiebeleid hebben om ervoor te zorgen dat hun rotatie binnen het opgegeven aantal dagen na het maken is gepland. | Beheer de nalevingsvereisten van uw organisatie door het maximum aantal dagen na het maken van de sleutel op te geven totdat deze moet worden geroteerd. | Controle, uitgeschakeld | 1.0.0 |
| Sleutels moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als een sleutel bijna is vervallen, kan een organisatorische vertraging in het roteren van de sleutel tot uitval leiden. Sleutels moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten de opgegeven maximale geldigheidsduur hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur (in dagen) op te geven dat een sleutel binnen uw sleutelkluis geldig mag zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels mogen niet langer dan het opgegeven aantal dagen actief zijn | Geef het aantal dagen op dat een sleutel actief moet zijn. Sleutels die gedurende een lange periode worden gebruikt, vergroten de kans dat een aanvaller misbruik van de sleutel maakt. Het is een goede beveiligingspraktijk sleutels niet langer dan twee jaar actief te houden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels die gebruikmaken van elliptische curve-cryptografie, moeten de opgegeven curvenamen hebben | Sleutels die worden ondersteund door elliptische curve-cryptografie, kunnen verschillende curvenamen hebben. Sommige toepassingen zijn alleen compatibel met specifieke elliptische-curvesleutels. Dwing de typen elliptische-curvesleutels af die in uw omgeving mogen worden gemaakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels met RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebben | Stel de minimaal toegestane sleutelgrootte in die u voor uw sleutelkluizen wilt gebruiken. Het gebruik van RSA-sleutels met kleine sleutelgrootten is geen veilige manier en voldoet niet aan een groot aantal industriële certificeringsvereisten. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Resourcelogboeken in beheerde HSM van Azure Key Vault moeten zijn ingeschakeld | Als u activiteitentrails voor onderzoeksdoeleinden opnieuw wilt maken wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast, wilt u mogelijk controleren door resourcelogboeken in te schakelen op beheerde HSM's. Volg de instructies hier: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Voor geheimen moet een inhoudstype zijn ingesteld | Met een inhoudstypetag kunt u bepalen of een geheim een wachtwoord is, verbindingsreeks enzovoort. Verschillende geheimen hebben verschillende rotatievereisten. De tag voor het inhoudstype moet voor geheimen zijn ingesteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als een geheim bijna is vervallen, kan een organisatorische vertraging in het roteren van het geheim tot uitval leiden. Geheimen moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen moeten de opgegeven maximale geldigheidsduur hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur (in dagen) op te geven dat een geheim binnen uw sleutelkluis geldig mag zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen mogen niet langer dan het opgegeven aantal dagen actief zijn | Als uw geheimen zijn gemaakt met een activeringsdatum die in de toekomst ligt, moet u ervoor zorgen dat de geheimen niet langer actief zijn dan de opgegeven duur. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Key Vault (objecten)
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Certificaten moeten worden uitgegeven door een van de opgegeven niet-geïntegreerde certificeringsinstanties | Beheer de nalevingsvereisten van uw organisatie door aangepaste of interne certificeringsinstanties op te geven die certificaten in uw sleutelkluis kunnen uitgeven. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Certificaten moeten worden uitgegeven door de opgegeven geïntegreerde certificeringsinstantie | Beheer de nalevingsvereisten van uw organisatie door de geïntegreerde Azure-certificeringsinstanties op te geven die certificaten kunnen verlenen in uw sleutelkluis, zoals Digicert of GlobalSign. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten moeten worden uitgegeven door de opgegeven niet-geïntegreerde certificeringsinstantie | Beheer de nalevingsvereisten van uw organisatie door één aangepaste of interne certificeringsinstantie op te geven die certificaten in uw sleutelkluis kan uitgeven. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.1 |
| Voor certificaten moeten de opgegeven activeringen voor levensduuractie zijn ingevoerd | Beheer de nalevingsvereisten van uw organisatie door op te geven of een actie voor de levensduur van een certificaat wordt geactiveerd met een bepaald percentage van de levensduur of op een bepaald aantal dagen voordat de vervaldatum is verstreken. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten moeten de opgegeven maximale geldigheidsperiode hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.2.1 |
| Certificaten mogen niet binnen het opgegeven aantal dagen verlopen | Beheer certificaten die binnen een opgegeven aantal dagen verlopen, zodat uw organisatie voldoende tijd heeft om het certificaat te roteren voordat het verloopt. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.1 |
| Certificaten moeten toegestane sleuteltypen gebruiken | Beheer de nalevingsvereisten van uw organisatie door de toegestane sleuteltypen voor certificaten te beperken. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten die gebruikmaken van elliptische curve-cryptografie moeten toegestane curvenamen hebben | Beheer de toegestane elliptische curve-namen voor ECC-certificaten die zijn opgeslagen in de sleutelkluis. Meer informatie vindt u op https://aka.ms/akvpolicy. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten met RSA-cryptografie moeten de opgegeven minimale sleutelgrootte hebben | Beheer de nalevingsvereisten van uw organisatie door een minimale sleutelgrootte voor RSA-certificaten op te geven die zijn opgeslagen in uw sleutelkluis. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Key Vault-sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Key Vault-geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Sleutels moeten worden ondersteund door een HSM (Hardware Security Module) | Een HSM is een hardwarebeveiligingsmodule waarin sleutels worden opgeslagen. Een HSM biedt een fysieke beveiligingslaag voor cryptografische sleutels. De cryptografische sleutel kan geen fysieke HSM verlaten die een grotere mate van beveiliging biedt dan een softwaresleutel. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten van het opgegeven cryptografische type RSA of EC zijn | Voor sommige toepassingen is het gebruik van sleutels vereist die door een specifiek cryptografisch type worden ondersteund. Dwing een bepaald cryptografisch sleuteltype in uw omgeving af, RSA of EC. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten een rotatiebeleid hebben om ervoor te zorgen dat hun rotatie binnen het opgegeven aantal dagen na het maken is gepland. | Beheer de nalevingsvereisten van uw organisatie door het maximum aantal dagen na het maken van de sleutel op te geven totdat deze moet worden geroteerd. | Controle, uitgeschakeld | 1.0.0 |
| Sleutels moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als een sleutel bijna is vervallen, kan een organisatorische vertraging in het roteren van de sleutel tot uitval leiden. Sleutels moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten de opgegeven maximale geldigheidsduur hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur (in dagen) op te geven dat een sleutel binnen uw sleutelkluis geldig mag zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels mogen niet langer dan het opgegeven aantal dagen actief zijn | Geef het aantal dagen op dat een sleutel actief moet zijn. Sleutels die gedurende een lange periode worden gebruikt, vergroten de kans dat een aanvaller misbruik van de sleutel maakt. Het is een goede beveiligingspraktijk sleutels niet langer dan twee jaar actief te houden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels die gebruikmaken van elliptische curve-cryptografie, moeten de opgegeven curvenamen hebben | Sleutels die worden ondersteund door elliptische curve-cryptografie, kunnen verschillende curvenamen hebben. Sommige toepassingen zijn alleen compatibel met specifieke elliptische-curvesleutels. Dwing de typen elliptische-curvesleutels af die in uw omgeving mogen worden gemaakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels met RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebben | Stel de minimaal toegestane sleutelgrootte in die u voor uw sleutelkluizen wilt gebruiken. Het gebruik van RSA-sleutels met kleine sleutelgrootten is geen veilige manier en voldoet niet aan een groot aantal industriële certificeringsvereisten. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Voor geheimen moet een inhoudstype zijn ingesteld | Met een inhoudstypetag kunt u bepalen of een geheim een wachtwoord is, verbindingsreeks enzovoort. Verschillende geheimen hebben verschillende rotatievereisten. De tag voor het inhoudstype moet voor geheimen zijn ingesteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als een geheim bijna is vervallen, kan een organisatorische vertraging in het roteren van het geheim tot uitval leiden. Geheimen moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen moeten de opgegeven maximale geldigheidsduur hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur (in dagen) op te geven dat een geheim binnen uw sleutelkluis geldig mag zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen mogen niet langer dan het opgegeven aantal dagen actief zijn | Als uw geheimen zijn gemaakt met een activeringsdatum die in de toekomst ligt, moet u ervoor zorgen dat de geheimen niet langer actief zijn dan de opgegeven duur. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.