Inbyggda Azure Policy-definitioner för Key Vault
Den här sidan är ett index över inbyggda principdefinitioner för Azure Policy för Key Vault. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Azure Key Vault Managed HSM bör inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Hanterade HSM för Azure Key Vault så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Granska, neka, inaktiverad | 1.0.0-preview |
[Förhandsversion]: Azure Key Vault Managed HSM bör använda privat länk | Privat länk är ett sätt att ansluta Azure Key Vault Managed HSM till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger skydd på djupet mot dataexfiltrering. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Granskning, inaktiverad | 1.0.0-preview |
[Förhandsversion]: Certifikat ska utfärdas av en av de angivna icke-integrerade certifikatutfärdarna | Hantera organisationens efterlevnadskrav genom att ange anpassade eller interna certifikatutfärdare som kan utfärda certifikat i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.0-preview |
[Förhandsversion]: Konfigurera Azure Key Vault Managed HSM för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för din Hanterade HSM för Azure Key Vault så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Ändra, inaktiverad | 2.0.0-preview |
[Förhandsversion]: Konfigurera Azure Key Vault Managed HSM med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Key Vault Managed HSM kan du minska risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, inaktiverad | 1.0.0-preview |
Azure Key Vault Managed HSM bör ha rensningsskydd aktiverat | Skadlig borttagning av en hanterad HSM i Azure Key Vault kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa Azure Key Vault Managed HSM. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuk borttagen Azure Key Vault Managed HSM. Ingen i din organisation eller Microsoft kommer att kunna rensa din Azure Key Vault Managed HSM under kvarhållningsperioden för mjuk borttagning. | Granska, neka, inaktiverad | 1.0.0 |
Azure Key Vault bör inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för ditt nyckelvalv så att det inte är tillgängligt via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/akvprivatelink. | Granska, neka, inaktiverad | 1.1.0 |
Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
Azure Key Vault bör använda RBAC-behörighetsmodellen | Aktivera RBAC-behörighetsmodell i Key Vaults. Läs mer på: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Granska, neka, inaktiverad | 1.0.1 |
Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Certifikat ska utfärdas av den angivna integrerade certifikatutfärdare | Hantera organisationens efterlevnadskrav genom att ange de Azure-integrerade certifikatutfärdare som kan utfärda certifikat i nyckelvalvet, till exempel Digicert eller GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikat ska utfärdas av den angivna icke-integrerade certifikatutfärdare | Hantera organisationens efterlevnadskrav genom att ange en anpassad eller intern certifikatutfärdare som kan utfärda certifikat i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Certifikaten ska ha de angivna utlösarna för livslängdsåtgärden | Hantera organisationens efterlevnadskrav genom att ange om en åtgärd för certifikatets livslängd utlöses i en viss procentandel av dess livslängd eller ett visst antal dagar innan den upphör att gälla. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikaten ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
Certifikat bör inte upphöra att gälla inom det angivna antalet dagar | Hantera certifikat som upphör att gälla inom ett angivet antal dagar för att säkerställa att din organisation har tillräckligt med tid för att rotera certifikatet innan det upphör att gälla. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Certifikat bör använda tillåtna nyckeltyper | Hantera organisationens efterlevnadskrav genom att begränsa de nyckeltyper som tillåts för certifikat. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikat som använder elliptisk kurvkryptografi bör ha tillåtna kurvnamn | Hantera de tillåtna elliptiska kurvnamnen för ECC-certifikat som lagras i nyckelvalvet. Mer information finns på https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken | Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Konfigurera Azure Key Vaults med privata slutpunkter | Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | DeployIfNotExists, inaktiverad | 1.0.1 |
Konfigurera nyckelvalv för att aktivera brandvägg | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan sedan konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Ändra, inaktiverad | 1.1.1 |
Distribuera – Konfigurera diagnostikinställningar för Azure Key Vault till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Azure Key Vault för att strömma resursloggar till en Log Analytics-arbetsyta när ett Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 2.0.1 |
Distribuera – Konfigurera diagnostikinställningar för en Log Analytics-arbetsyta som ska aktiveras på Azure Key Vault Managed HSM | Distribuerar diagnostikinställningarna för Azure Key Vault Managed HSM för att strömma till en regional Log Analytics-arbetsyta när azure Key Vault Managed HSM som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
Distribuera – Konfigurera diagnostikinställningar för en händelsehubb som ska aktiveras på Azure Key Vault Managed HSM | Distribuerar diagnostikinställningarna för Azure Key Vault Managed HSM för att strömma till en regional händelsehubb när azure Key Vault Managed HSM som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 1.0.0 |
Distribuera diagnostikinställningar för Key Vault till Event Hub | Distribuerar diagnostikinställningarna för Key Vault för att strömma till en regional händelsehubb när ett Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 3.0.1 |
Distribuera diagnostikinställningar för Key Vault till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Key Vault för att strömma till en regional Log Analytics-arbetsyta när ett Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. | DeployIfNotExists, inaktiverad | 3.0.0 |
Aktivera loggning efter kategorigrupp för Nyckelvalv (microsoft.keyvault/valv) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för nyckelvalv (microsoft.keyvault/valv). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
Aktivera loggning efter kategorigrupp för Nyckelvalv (microsoft.keyvault/vaults) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för Nyckelvalv (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
Aktivera loggning efter kategorigrupp för Nyckelvalv (microsoft.keyvault/valv) till Lagring | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för nyckelvalv (microsoft.keyvault/valv). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
Aktivera loggning efter kategorigrupp för hanterade HSM:er (microsoft.keyvault/managedhsms) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för hanterade HSM:er (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.2.0 |
Aktivera loggning efter kategorigrupp för hanterade HSM:er (microsoft.keyvault/managedhsms) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för hanterade HSM:er (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
Aktivera loggning efter kategorigrupp för hanterade HSM:er (microsoft.keyvault/managedhsms) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för hanterade HSM:er (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.1.0 |
Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
Key Vault bör använda en tjänstslutpunkt för virtuellt nätverk | Den här principen granskar alla Nyckelvalv som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. | Granskning, inaktiverad | 1.0.0 |
Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
Nycklar bör säkerhetskopieras av en maskinvarusäkerhetsmodul (HSM) | En HSM är en maskinvarusäkerhetsmodul som lagrar nycklar. En HSM ger ett fysiskt skydd för kryptografiska nycklar. Den kryptografiska nyckeln kan inte lämna en fysisk HSM som ger en högre säkerhetsnivå än en programvarunyckel. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar ska vara den angivna kryptografiska typen RSA eller EC | Vissa program kräver att nycklar som backas upp av en viss kryptografisk typ används. Framtvinga en viss typ av kryptografisk nyckel, RSA eller EC, i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar bör ha en rotationsprincip som säkerställer att rotationen schemaläggs inom det angivna antalet dagar efter att de har skapats. | Hantera organisationens efterlevnadskrav genom att ange det maximala antalet dagar efter att nyckeln har skapats tills den måste roteras. | Granskning, inaktiverad | 1.0.0 |
Nycklar bör ha fler än det angivna antalet dagar innan de upphör att gälla | Om en nyckel är för nära förfallodatum kan en organisationsfördröjning för att rotera nyckeln leda till ett avbrott. Nycklar ska roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1 |
Nycklarna ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tiden i dagar som en nyckel kan vara giltig i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar bör inte vara aktiva längre än det angivna antalet dagar | Ange hur många dagar en nyckel ska vara aktiv. Nycklar som används under en längre tidsperiod ökar sannolikheten för att en angripare kan kompromettera nyckeln. Som en bra säkerhetspraxis bör du se till att dina nycklar inte har varit aktiva längre än två år. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar som använder elliptisk kurvkryptografi ska ha de angivna kurvnamnen | Nycklar som backas upp av elliptisk kurvkryptografi kan ha olika kurvnamn. Vissa program är endast kompatibla med specifika elliptiska kurvnycklar. Framtvinga de typer av elliptiska kurvnycklar som tillåts skapas i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek | Ange den minsta tillåtna nyckelstorleken som ska användas med dina nyckelvalv. Användning av RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många krav för branschcertifiering. | Granska, neka, inaktiverad | 1.0.1 |
Resursloggar i Azure Key Vault Managed HSM ska vara aktiverade | Om du vill återskapa aktivitetsloggar i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras kanske du vill granska genom att aktivera resursloggar på hanterade HSM:er. Följ anvisningarna här: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, inaktiverad | 1.1.0 |
Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
Hemligheter bör ha en uppsättning innehållstyper | En innehållstypstagg hjälper dig att identifiera om en hemlighet är ett lösenord, niska veze osv. Olika hemligheter har olika rotationskrav. Taggen Innehållstyp ska anges för hemligheter. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör ha mer än det angivna antalet dagar innan de upphör att gälla | Om en hemlighet är för nära förfallodatum kan en organisationsfördröjning för att rotera hemligheten leda till ett avbrott. Hemligheter bör roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tiden i dagar som en hemlighet kan vara giltig i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör inte vara aktiva längre än det angivna antalet dagar | Om dina hemligheter har skapats med ett aktiveringsdatum som har angetts i framtiden måste du se till att dina hemligheter inte har varit aktiva längre än den angivna varaktigheten. | Granska, neka, inaktiverad | 1.0.1 |
Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Certifikat ska utfärdas av en av de angivna icke-integrerade certifikatutfärdarna | Hantera organisationens efterlevnadskrav genom att ange anpassade eller interna certifikatutfärdare som kan utfärda certifikat i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.0-preview |
Certifikat ska utfärdas av den angivna integrerade certifikatutfärdare | Hantera organisationens efterlevnadskrav genom att ange de Azure-integrerade certifikatutfärdare som kan utfärda certifikat i nyckelvalvet, till exempel Digicert eller GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikat ska utfärdas av den angivna icke-integrerade certifikatutfärdare | Hantera organisationens efterlevnadskrav genom att ange en anpassad eller intern certifikatutfärdare som kan utfärda certifikat i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Certifikaten ska ha de angivna utlösarna för livslängdsåtgärden | Hantera organisationens efterlevnadskrav genom att ange om en åtgärd för certifikatets livslängd utlöses i en viss procentandel av dess livslängd eller ett visst antal dagar innan den upphör att gälla. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikaten ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
Certifikat bör inte upphöra att gälla inom det angivna antalet dagar | Hantera certifikat som upphör att gälla inom ett angivet antal dagar för att säkerställa att din organisation har tillräckligt med tid för att rotera certifikatet innan det upphör att gälla. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
Certifikat bör använda tillåtna nyckeltyper | Hantera organisationens efterlevnadskrav genom att begränsa de nyckeltyper som tillåts för certifikat. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikat som använder elliptisk kurvkryptografi bör ha tillåtna kurvnamn | Hantera de tillåtna elliptiska kurvnamnen för ECC-certifikat som lagras i nyckelvalvet. Mer information finns på https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken | Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
Nycklar bör säkerhetskopieras av en maskinvarusäkerhetsmodul (HSM) | En HSM är en maskinvarusäkerhetsmodul som lagrar nycklar. En HSM ger ett fysiskt skydd för kryptografiska nycklar. Den kryptografiska nyckeln kan inte lämna en fysisk HSM som ger en högre säkerhetsnivå än en programvarunyckel. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar ska vara den angivna kryptografiska typen RSA eller EC | Vissa program kräver att nycklar som backas upp av en viss kryptografisk typ används. Framtvinga en viss typ av kryptografisk nyckel, RSA eller EC, i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar bör ha en rotationsprincip som säkerställer att rotationen schemaläggs inom det angivna antalet dagar efter att de har skapats. | Hantera organisationens efterlevnadskrav genom att ange det maximala antalet dagar efter att nyckeln har skapats tills den måste roteras. | Granskning, inaktiverad | 1.0.0 |
Nycklar bör ha fler än det angivna antalet dagar innan de upphör att gälla | Om en nyckel är för nära förfallodatum kan en organisationsfördröjning för att rotera nyckeln leda till ett avbrott. Nycklar ska roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1 |
Nycklarna ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tiden i dagar som en nyckel kan vara giltig i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar bör inte vara aktiva längre än det angivna antalet dagar | Ange hur många dagar en nyckel ska vara aktiv. Nycklar som används under en längre tidsperiod ökar sannolikheten för att en angripare kan kompromettera nyckeln. Som en bra säkerhetspraxis bör du se till att dina nycklar inte har varit aktiva längre än två år. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar som använder elliptisk kurvkryptografi ska ha de angivna kurvnamnen | Nycklar som backas upp av elliptisk kurvkryptografi kan ha olika kurvnamn. Vissa program är endast kompatibla med specifika elliptiska kurvnycklar. Framtvinga de typer av elliptiska kurvnycklar som tillåts skapas i din miljö. | Granska, neka, inaktiverad | 1.0.1 |
Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek | Ange den minsta tillåtna nyckelstorleken som ska användas med dina nyckelvalv. Användning av RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många krav för branschcertifiering. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör ha en uppsättning innehållstyper | En innehållstypstagg hjälper dig att identifiera om en hemlighet är ett lösenord, niska veze osv. Olika hemligheter har olika rotationskrav. Taggen Innehållstyp ska anges för hemligheter. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör ha mer än det angivna antalet dagar innan de upphör att gälla | Om en hemlighet är för nära förfallodatum kan en organisationsfördröjning för att rotera hemligheten leda till ett avbrott. Hemligheter bör roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tiden i dagar som en hemlighet kan vara giltig i ditt nyckelvalv. | Granska, neka, inaktiverad | 1.0.1 |
Hemligheter bör inte vara aktiva längre än det angivna antalet dagar | Om dina hemligheter har skapats med ett aktiveringsdatum som har angetts i framtiden måste du se till att dina hemligheter inte har varit aktiva längre än den angivna varaktigheten. | Granska, neka, inaktiverad | 1.0.1 |
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.