この記事では、Microsoft Defender for Cloud に表示されるすべての Keyvault セキュリティに関する推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。
ヒント
推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。
たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。
このブログでは、 Azure Key Vault を保護する方法と、セキュリティにとって Azure ロールベースのアクセス制御が重要な理由について説明します。
Azure Keyvault の推奨事項
Keyvault サービスでアクセス制御を使用する必要がある Role-Based
説明: ユーザーが実行できるアクションをきめ細かくフィルター処理するには、 Role-Based アクセス制御 (RBAC) を使用して Keyvault Service のアクセス許可を管理し、関連する承認ポリシーを構成します。 (関連ポリシー: Azure Key Vault では RBAC アクセス許可モデル (Microsoft Azure) を使用する必要があります)。
重大度: 高
型: コントロール プレーン
Key Vault シークレットには有効期限が必要である
説明: シークレットには、永続的ではなく、定義された有効期限が設定されている必要があります。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 (関連ポリシー: Key Vault シークレットには有効期限) が必要です。
重大度: 高
型: コントロール プレーン
Key Vault キーには有効期限が必要である
説明: 暗号化キーには、永続的ではなく、定義された有効期限が設定されている必要があります。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 (関連ポリシー: Key Vault キーには有効期限) が必要です。
重大度: 高
型: コントロール プレーン
Key Vault で論理的な削除が有効になっている必要がある
説明: 論理的な削除が有効になっていないキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、および証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 (関連ポリシー: キー コンテナーで論理的な削除が有効になっている必要があります)。
重大度: 高
型: コントロール プレーン
Azure Key Vault でファイアウォールが有効になっているか、パブリック ネットワーク アクセスが無効になっている必要があります
説明: Key Vault ファイアウォールを有効にして、パブリック IP が既定でキー コンテナーにアクセスできないようにするか、キー コンテナーのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。
詳細情報: Azure Key Vault とhttps://aka.ms/akvprivatelinkのネットワーク セキュリティ。 (関連ポリシー: Azure Key Vault でファイアウォールが有効になっているか、パブリック ネットワーク アクセスが無効になっている必要があります)。
重要度: 中
型: コントロール プレーン
Azure Key vault でプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、[https://aka.ms/akvprivatelink]を参照してください。 (関連ポリシー: Azure Key Vault はプライベート リンクを使用する必要があります)。
重要度: 中
型: コントロール プレーン