其他基準安全性考量
您還應該遵循幾項安全性建議,以在您的 Azure 訂閱上設定一般安全性與作業控制項。
更多安全性建議
下列各節描述 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的其他建議。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。 請記住,層級 2 選項可能會限制一些功能或活動,因此請仔細考慮您要強制執行哪一些安全性選項。
在 Azure Key Vault 中的所有金鑰上設定到期日 - 層級 1
除了金鑰之外,也可能針對 Azure Key Vault 中的金鑰指定下列屬性。 在 JSON 要求中,即使沒有指定任何屬性,仍需要屬性關鍵字與大括弧 { }。 例如,針對選擇性 IntDate 屬性,預設值為 forever。 exp (到期時間) 屬性會識別到期時間,除了特定條件下的特定作業類型之外,在此時間點或之後「絕不可」將金鑰用於密碼編譯作業。 exp 屬性的處理要求目前的日期與時間為 exp 值中設定的到期日期與時間「之前」。
建議輪替金鑰保存庫中的金鑰,並為每個金鑰設定明確的到期時間。 此程序可確保該金鑰無法用於其獲指派存留期以外的時間。 Key Vault 會以 8 位元的位元組序列 (稱為「八位元」) 來儲存及管理祕密,每個金鑰的大小上限為 25 KB。 針對高敏感性資料,用戶端應考慮為資料提供更多層的保護。 例如,在儲存於 Key Vault 之前,先使用個別的保護金鑰為資料加密。 針對每個金鑰保存庫中的所有金鑰,完成下列步驟。
登入 Azure 入口網站。 搜尋並選取 [金鑰保存庫]。
在 [物件] 下的左側功能表中,選取 [金鑰]。
在金鑰保存庫的 [金鑰] 窗格中,確保保存庫中的每個金鑰都已適當設定 [到期日]。
如果要變更任何設定,請在功能表列中選取 [儲存]。
在 Azure Key Vault 中的所有祕密上設定到期日 - 層級 1
安全地儲存權杖、密碼、憑證、API 金鑰和其他祕密,並嚴密控制其存取。 確保已為 Azure Key Vault 中的所有祕密設定到期時間。 針對每個金鑰保存庫中的所有祕密,完成下列步驟。
登入 Azure 入口網站。 搜尋並選取 [金鑰保存庫]。
在 [物件] 下的左側功能表中,選取 [祕密]。
在金鑰保存庫的 [祕密] 窗格中,確保保存庫中的每個祕密都已適當設定 [到期日]。
下列螢幕擷取畫面說明在密碼上設定到期日的方式:
如果要變更任何設定,請在功能表列中選取 [儲存]。
針對任務關鍵性的 Azure 資源設定資源鎖定 - 層級 2
身為系統管理員,您可能需要鎖定訂閱、資源群組或資源,以防止其他使用者不小心刪除或修改重要資源。 在 Azure 入口網站中,鎖定層級為唯讀與刪除。 不同於角色型存取控制,您可以使用管理鎖定,將限制套用至所有使用者與角色。 Azure Resource Manager 鎖定只會套用於管理平面發生的作業,其包含傳送至 https://management.azure.com 的作業。 鎖定並不會限制資源執行自己功能的方式。 限制資源的變更,但沒有限制資源的作業。
提示
例如,Azure SQL Database 執行個體上的 Read-only 鎖定會防止您刪除或修改資料庫。 但不會防止您建立、更新或刪除資料庫中的資料。 允許資料交易,因為那些作業並不會傳送到 https://management.azure.com。
針對 Azure 訂閱中的所有任務關鍵性資源,完成下列步驟。
登入 Azure 入口網站。 搜尋並選取 [所有資源]。
選取您要鎖定的資源、資源群組或訂用帳戶。
在 [設定] 下的功能表中,選取 [鎖定]。
在 [鎖定] 窗格的功能表中,選取 [新增]。
在 [新增鎖定] 窗格中,輸入鎖定的名稱並選取鎖定層級。 您可以視需要新增描述鎖定的附註。
