Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie toutes les recommandations de sécurité keyvault que vous pouvez voir dans Microsoft Defender pour cloud.
Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée. Vous pouvez voir les recommandations dans le portail qui s’appliquent à vos ressources.
Pour en savoir plus sur les actions que vous pouvez effectuer en réponse à ces recommandations, consultez Correction des recommandations dans Defender pour le cloud.
Conseil / Astuce
Si une description de recommandation indique Aucune stratégie associée, cela est généralement dû au fait que cette recommandation dépend d’une autre recommandation.
Par exemple, les échecs d’intégrité Endpoint Protection doivent être corrigés en fonction de la recommandation qui vérifie si une solution endpoint protection est installée (la solution Endpoint Protection doit être installée). La recommandation sous-jacente est associée à une stratégie. La limitation des stratégies aux recommandations fondamentales simplifie la gestion des stratégies.
Lisez ce blog pour savoir comment protéger votre coffre de clés Azure et pourquoi le contrôle d’accès en fonction du rôle Azure est essentiel pour la sécurité.
Recommandations Azure KeyVault
Role-Based Contrôle d’accès doit être utilisé sur keyvault Services
Description : Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez Role-Based contrôle d’accès (RBAC) pour gérer les autorisations dans keyvault Service et configurer les stratégies d’autorisation appropriées. (Stratégie associée : Azure Key Vault doit utiliser le modèle d’autorisation RBAC - Microsoft Azure).
Gravité : élevée
Type : plan de contrôle
Les secrets Key Vault doivent avoir une date d’expiration
Description : Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. (Stratégie associée : Les secrets Key Vault doivent avoir une date d’expiration).
Gravité : élevée
Type : plan de contrôle
Les clés Key Vault doivent avoir une date d’expiration
Description : Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. (Stratégie associée : Les clés Key Vault doivent avoir une date d’expiration).
Gravité : élevée
Type : plan de contrôle
La suppression réversible doit être activée sur les coffres de clés
Description : la suppression d’un coffre de clés sans suppression réversible activée supprime définitivement tous les secrets, clés et certificats stockés dans le coffre de clés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. (Stratégie associée : Les coffres de clés doivent avoir la suppression réversible activée).
Gravité : élevée
Type : plan de contrôle
Azure Key Vault doit avoir un pare-feu activé ou un accès réseau public désactivé
Description : activez le pare-feu du coffre de clés afin que le coffre de clés ne soit pas accessible par défaut à des adresses IP publiques ou désactive l’accès réseau public pour votre coffre de clés afin qu’il ne soit pas accessible via l’Internet public. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux.
En savoir plus sur : Sécurité réseau pour Azure Key Vault et https://aka.ms/akvprivatelink. (Stratégie associée : Azure Key Vault doit avoir un pare-feu activé ou un accès réseau public désactivé).
Gravité : moyen
Type : plan de contrôle
Les coffres de clés Azure doivent utiliser une liaison privée
Description : Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liens privés à l’adresse : [https://aka.ms/akvprivatelink.] (Stratégie associée : Azure Key Vaults doit utiliser une liaison privée).
Gravité : moyen
Type : plan de contrôle