Key Vault için yerleşik tanımları Azure İlkesi
Bu sayfa, Key Vault için yerleşik Azure İlkesi ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Key Vault (hizmet)
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Key Vault Yönetilen HSM genel ağ erişimini devre dışı bırakmalıdır | Genel İnternet üzerinden erişilmemesi için Azure Key Vault Yönetilen HSM'niz için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM özel bağlantı kullanmalıdır | Özel bağlantı, genel İnternet üzerinden trafik göndermeden Azure Key Vault Yönetilen HSM'yi Azure kaynaklarınıza bağlamanın bir yolunu sağlar. Özel bağlantı, veri sızdırmaya karşı derinlemesine koruma sağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Sertifikalar, belirtilen tümleşik olmayan sertifika yetkililerinden biri tarafından verilmelidir | Anahtar kasanızda sertifika düzenleyebilen özel veya iç sertifika yetkilileri belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM'yi genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel İnternet üzerinden erişilmemesi için Azure Key Vault Yönetilen HSM'niz için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Değiştir, Devre Dışı | 2.0.0-önizleme |
| [Önizleme]: Azure Key Vault Yönetilen HSM'yi özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları Azure Key Vault Yönetilen HSM'ye eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
| Azure Key Vault Yönetilen HSM'de temizleme koruması etkinleştirilmelidir | Azure Key Vault Yönetilen HSM'sinin kötü amaçlı silinmesi kalıcı veri kaybına yol açabilir. Kuruluşunuzdaki kötü amaçlı bir insider, Azure Key Vault Yönetilen HSM'lerini silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen Azure Key Vault Yönetilen HSM için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse Azure Key Vault Yönetilen HSM'nizi temizleyemez. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Key Vault genel ağ erişimini devre dışı bırakmalıdır | Anahtar kasanızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/akvprivatelink. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Key Vault RBAC izin modelini kullanmalıdır | Key Vault'lar arasında RBAC izin modelini etkinleştirin. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Sertifikalar belirtilen tümleşik sertifika yetkilisi tarafından verilmelidir | Digicert veya GlobalSign gibi anahtar kasanızda sertifika düzenleyebilen Azure tümleşik sertifika yetkililerini belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Sertifikalar, belirtilen tümleşik olmayan sertifika yetkilisi tarafından verilmelidir | Anahtar kasanızda sertifika düzenleyebilen bir özel veya iç sertifika yetkilisi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.1 |
| Sertifikaların belirtilen yaşam süresi eylem tetikleyicileri olmalıdır | Sertifika yaşam süresi eyleminin ömrünün belirli bir yüzdesiyle mi yoksa süresi dolmadan belirli sayıda gün önce mi tetikleneceğini belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Sertifikanın anahtar kasanızda geçerli olabileceği maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.2.1 |
| Sertifikaların süresi belirtilen gün sayısı içinde dolmamalıdır | Kuruluşunuzun süresi dolmadan önce sertifikayı döndürmek için yeterli zamanı olduğundan emin olmak için belirtilen sayıda gün içinde süresi dolacak sertifikaları yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.1 |
| Sertifikalar izin verilen anahtar türlerini kullanmalıdır | Sertifikalar için izin verilen anahtar türlerini kısıtlayarak kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Üç nokta eğrisi şifrelemesi kullanan sertifikalar, eğri adlarına izin vermelidir | Anahtar kasasında depolanan ECC Sertifikaları için izin verilen üç nokta eğrisi adlarını yönetin. Daha fazla bilgi için bkz. https://aka.ms/akvpolicy. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| RSA şifrelemesi kullanan sertifikalar belirtilen en düşük anahtar boyutuna sahip olmalıdır | Anahtar kasanızda depolanan RSA sertifikaları için en düşük anahtar boyutunu belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Azure Key Vault'ları özel uç noktalarla yapılandırma | Özel uç noktalar, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlar. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Güvenlik duvarını etkinleştirmek için anahtar kasalarını yapılandırma | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. Daha sonra bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Değiştir, Devre Dışı | 1.1.1 |
| Dağıtma - Azure Key Vault'tan Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Azure Key Vault tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.1 |
| Dağıtma - Tanılama ayarlarını Azure Key Vault Yönetilen HSM'de etkinleştirilecek bir Log Analytics çalışma alanında yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Azure Key Vault Yönetilen HSM oluşturulduğunda veya güncelleştirildiğinde bölgesel log analytics çalışma alanına akış yapmak için Azure Key Vault Yönetilen HSM tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - Azure Key Vault Yönetilen HSM'de etkinleştirilecek bir Olay Hub'ına tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik olan herhangi bir Azure Key Vault Yönetilen HSM oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Azure Key Vault Yönetilen HSM için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Key Vault için Tanılama Ayarlar Olay Hub'ına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde, Key Vault'un bölgesel bir Olay Hub'ına akışla aktarılacağı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.1 |
| Key Vault için Tanılama Ayarlar Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde Key Vault'un bölgesel log analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Olay Hub'ına Anahtar kasaları (microsoft.keyvault/vaults) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Anahtar kasaları için Olay Hub'ına (microsoft.keyvault/vaults) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Anahtar kasaları (microsoft.keyvault/vaults) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Anahtar kasaları (microsoft.keyvault/vaults) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Anahtar kasaları (microsoft.keyvault/vaults) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Anahtar kasaları için Depolama Hesabına (microsoft.keyvault/vaults) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Yönetilen HSM'ler (microsoft.keyvault/managedhsms) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Yönetilen HSM'ler için Olay Hub'ına (microsoft.keyvault/managedhsms) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics'e Yönetilen HSM'ler (microsoft.keyvault/managedhsms) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Yönetilen HSM'ler (microsoft.keyvault/managedhsms) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Yönetilen HSM'lerin (microsoft.keyvault/managedhsms) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Yönetilen HSM'ler için Depolama Hesabına (microsoft.keyvault/managedhsms) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Key Vault anahtarlarının son kullanma tarihi olmalıdır | Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Key Vault gizli dizilerinin son kullanma tarihi olmalıdır | Gizli dizilerin tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli dizilerde son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Key Vault bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Key Vault'ları denetler. | Denetim, Devre Dışı | 1.0.0 |
| Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Anahtarlar bir donanım güvenlik modülü (HSM) tarafından desteklenmelidir | HSM, anahtarları depolayan bir donanım güvenlik modülüdür. HSM, şifreleme anahtarları için fiziksel bir koruma katmanı sağlar. Şifreleme anahtarı, yazılım anahtarından daha yüksek bir güvenlik düzeyi sağlayan fiziksel bir HSM'den ayrılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen şifreleme türü RSA veya EC olmalıdır | Bazı uygulamalar belirli bir şifreleme türü tarafından yedeklenen anahtarların kullanılmasını gerektirir. Ortamınızda belirli bir şifreleme anahtarı türünü (RSA veya EC) zorunlu tutun. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar, döndürmelerinin oluşturulduktan sonraki belirtilen gün sayısı içinde zamanlandığından emin olan bir döndürme ilkesine sahip olmalıdır. | Anahtar oluşturma işleminden sonra döndürülecek en fazla gün sayısını belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Devre Dışı | 1.0.0 |
| Anahtarların süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Anahtarın süresi dolmaya çok yakınsa, anahtarı döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Anahtarlar, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Anahtar kasanızda anahtarın geçerli olabileceği gün cinsinden maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen gün sayısından daha uzun süre etkin olmamalıdır | Bir anahtarın etkin olacağı gün sayısını belirtin. Uzun süre kullanılan anahtarlar, saldırganın anahtarı tehlikeye atma olasılığını artırır. İyi bir güvenlik uygulaması olarak anahtarlarınızın iki yıldan uzun süre etkin olmadığından emin olun. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Üç nokta eğrisi şifrelemesi kullanan anahtarlar belirtilen eğri adlara sahip olmalıdır | Elips eğrisi şifrelemesi tarafından desteklenen anahtarların farklı eğri adları olabilir. Bazı uygulamalar yalnızca belirli üç nokta eğrisi tuşlarıyla uyumludur. Ortamınızda oluşturulmasına izin verilen üç nokta eğrisi anahtarı türlerini zorunlu kılın. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| RSA şifrelemesi kullanan anahtarlar belirtilen en düşük anahtar boyutuna sahip olmalıdır | Anahtar kasalarınızla kullanmak için izin verilen en düşük anahtar boyutunu ayarlayın. Küçük anahtar boyutlarına sahip RSA anahtarlarının kullanımı güvenli bir uygulama değildir ve birçok endüstri sertifikası gereksinimlerini karşılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Key Vault Yönetilen HSM'deki kaynak günlükleri etkinleştirilmelidir | Bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmak için Yönetilen HSM'lerde kaynak günlüklerini etkinleştirerek denetim yapmak isteyebilirsiniz. Lütfen buradaki yönergeleri izleyin: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Gizli dizilerde içerik türü ayarlanmalıdır | İçerik türü etiketi, gizli dizilerin parola, bağlantı dizesi vb. olup olmadığını belirlemeye yardımcı olur. Farklı gizli dizilerin farklı döndürme gereksinimleri vardır. İçerik türü etiketi gizli diziler üzerinde ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli dizilerin süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Gizli dizi süre sonu için çok yakınsa, gizli diziyi döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Gizli diziler, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli diziler belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Bir gizli anahtarın anahtar kasanızda geçerli olabileceği en uzun süreyi gün cinsinden belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli diziler belirtilen gün sayısından daha uzun süre etkin olmamalıdır | Gizli dizileriniz gelecekte ayarlanmış bir etkinleştirme tarihiyle oluşturulduysa, gizli dizilerinizin belirtilen sürenin üzerinde etkin olmadığından emin olmanız gerekir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Key Vault (nesneler)
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Sertifikalar, belirtilen tümleşik olmayan sertifika yetkililerinden biri tarafından verilmelidir | Anahtar kasanızda sertifika düzenleyebilen özel veya iç sertifika yetkilileri belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Sertifikalar belirtilen tümleşik sertifika yetkilisi tarafından verilmelidir | Digicert veya GlobalSign gibi anahtar kasanızda sertifika düzenleyebilen Azure tümleşik sertifika yetkililerini belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Sertifikalar, belirtilen tümleşik olmayan sertifika yetkilisi tarafından verilmelidir | Anahtar kasanızda sertifika düzenleyebilen bir özel veya iç sertifika yetkilisi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.1 |
| Sertifikaların belirtilen yaşam süresi eylem tetikleyicileri olmalıdır | Sertifika yaşam süresi eyleminin ömrünün belirli bir yüzdesiyle mi yoksa süresi dolmadan belirli sayıda gün önce mi tetikleneceğini belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Sertifikanın anahtar kasanızda geçerli olabileceği maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.2.1 |
| Sertifikaların süresi belirtilen gün sayısı içinde dolmamalıdır | Kuruluşunuzun süresi dolmadan önce sertifikayı döndürmek için yeterli zamanı olduğundan emin olmak için belirtilen sayıda gün içinde süresi dolacak sertifikaları yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.1 |
| Sertifikalar izin verilen anahtar türlerini kullanmalıdır | Sertifikalar için izin verilen anahtar türlerini kısıtlayarak kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Üç nokta eğrisi şifrelemesi kullanan sertifikalar, eğri adlarına izin vermelidir | Anahtar kasasında depolanan ECC Sertifikaları için izin verilen üç nokta eğrisi adlarını yönetin. Daha fazla bilgi için bkz. https://aka.ms/akvpolicy. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| RSA şifrelemesi kullanan sertifikalar belirtilen en düşük anahtar boyutuna sahip olmalıdır | Anahtar kasanızda depolanan RSA sertifikaları için en düşük anahtar boyutunu belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.1.0 |
| Key Vault anahtarlarının son kullanma tarihi olmalıdır | Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Key Vault gizli dizilerinin son kullanma tarihi olmalıdır | Gizli dizilerin tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli dizilerde son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Anahtarlar bir donanım güvenlik modülü (HSM) tarafından desteklenmelidir | HSM, anahtarları depolayan bir donanım güvenlik modülüdür. HSM, şifreleme anahtarları için fiziksel bir koruma katmanı sağlar. Şifreleme anahtarı, yazılım anahtarından daha yüksek bir güvenlik düzeyi sağlayan fiziksel bir HSM'den ayrılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen şifreleme türü RSA veya EC olmalıdır | Bazı uygulamalar belirli bir şifreleme türü tarafından yedeklenen anahtarların kullanılmasını gerektirir. Ortamınızda belirli bir şifreleme anahtarı türünü (RSA veya EC) zorunlu tutun. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar, döndürmelerinin oluşturulduktan sonraki belirtilen gün sayısı içinde zamanlandığından emin olan bir döndürme ilkesine sahip olmalıdır. | Anahtar oluşturma işleminden sonra döndürülecek en fazla gün sayısını belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Devre Dışı | 1.0.0 |
| Anahtarların süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Anahtarın süresi dolmaya çok yakınsa, anahtarı döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Anahtarlar, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Anahtar kasanızda anahtarın geçerli olabileceği gün cinsinden maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Anahtarlar belirtilen gün sayısından daha uzun süre etkin olmamalıdır | Bir anahtarın etkin olacağı gün sayısını belirtin. Uzun süre kullanılan anahtarlar, saldırganın anahtarı tehlikeye atma olasılığını artırır. İyi bir güvenlik uygulaması olarak anahtarlarınızın iki yıldan uzun süre etkin olmadığından emin olun. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Üç nokta eğrisi şifrelemesi kullanan anahtarlar belirtilen eğri adlara sahip olmalıdır | Elips eğrisi şifrelemesi tarafından desteklenen anahtarların farklı eğri adları olabilir. Bazı uygulamalar yalnızca belirli üç nokta eğrisi tuşlarıyla uyumludur. Ortamınızda oluşturulmasına izin verilen üç nokta eğrisi anahtarı türlerini zorunlu kılın. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| RSA şifrelemesi kullanan anahtarlar belirtilen en düşük anahtar boyutuna sahip olmalıdır | Anahtar kasalarınızla kullanmak için izin verilen en düşük anahtar boyutunu ayarlayın. Küçük anahtar boyutlarına sahip RSA anahtarlarının kullanımı güvenli bir uygulama değildir ve birçok endüstri sertifikası gereksinimlerini karşılamaz. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli dizilerde içerik türü ayarlanmalıdır | İçerik türü etiketi, gizli dizilerin parola, bağlantı dizesi vb. olup olmadığını belirlemeye yardımcı olur. Farklı gizli dizilerin farklı döndürme gereksinimleri vardır. İçerik türü etiketi gizli diziler üzerinde ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli dizilerin süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir | Gizli dizi süre sonu için çok yakınsa, gizli diziyi döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Gizli diziler, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli diziler belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Bir gizli anahtarın anahtar kasanızda geçerli olabileceği en uzun süreyi gün cinsinden belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Gizli diziler belirtilen gün sayısından daha uzun süre etkin olmamalıdır | Gizli dizileriniz gelecekte ayarlanmış bir etkinleştirme tarihiyle oluşturulduysa, gizli dizilerinizin belirtilen sürenin üzerinde etkin olmadığından emin olmanız gerekir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.