Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u alle aanbevelingen voor Keyvault-beveiliging die u in Microsoft Defender voor Cloud kunt zien.
De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.
Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.
Aanbeveling
Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.
De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.
Lees deze blog voor meer informatie over het beveiligen van uw Azure Key Vault en waarom op rollen gebaseerd toegangsbeheer van Azure essentieel is voor beveiliging.
Aanbevelingen voor Azure KeyVault
Role-Based toegangsbeheer moet worden gebruikt voor Keyvault Services
Beschrijving: Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Role-Based RBAC (Access Control) voor het beheren van machtigingen in Keyvault Service en configureert u relevante autorisatiebeleidsregels. (Gerelateerd beleid: Azure Key Vault moet gebruikmaken van het RBAC-machtigingsmodel - Microsoft Azure).
Ernst: Hoog
Type: Besturingsvlak
Key Vault-geheimen moeten een vervaldatum hebben
Beschrijving: Geheimen moeten een gedefinieerde vervaldatum hebben en niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. (Gerelateerd beleid: Key Vault-geheimen moeten een vervaldatum hebben).
Ernst: Hoog
Type: Besturingsvlak
Key Vault-sleutels moeten een vervaldatum hebben
Beschrijving: Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. (Gerelateerd beleid: Key Vault-sleutels moeten een vervaldatum hebben).
Ernst: Hoog
Type: Besturingsvlak
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen
Beschrijving: Als u een sleutelkluis verwijdert zonder voorlopig verwijderen ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis definitief verwijderd. Onbedoeld verwijderen van een key vault kan leiden tot permanent gegevensverlies. Met 'soft delete' kunt u een per ongeluk verwijderde Key Vault herstellen gedurende een configureerbare bewaarperiode. (Gerelateerd beleid: Sleutelkluizen moeten voorlopig verwijderen zijn ingeschakeld).
Ernst: Hoog
Type: Besturingsvlak
Voor Azure Key Vault moet firewall zijn ingeschakeld of openbare netwerktoegang is uitgeschakeld
Beschrijving: Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen of openbare netwerktoegang voor uw sleutelkluis uitschakelen, zodat deze niet toegankelijk is via het openbare internet. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken.
Meer informatie vindt u op: Netwerkbeveiliging voor Azure Key Vault en https://aka.ms/akvprivatelink. (Gerelateerd beleid: Voor Azure Key Vault moet firewall zijn ingeschakeld of openbare netwerktoegang is uitgeschakeld).
Ernst: gemiddeld
Type: Besturingsvlak
Azure-sleutelkluis moet gebruikmaken van een privékoppeling
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten aan Key Vault te koppelen, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: [https://aka.ms/akvprivatelink.] (Gerelateerd beleid: Azure Key Vaults moeten private link gebruiken).
Ernst: gemiddeld
Type: Besturingsvlak