Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń usługi Keyvault, które mogą być widoczne w usłudze Microsoft Defender for Cloud.
Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji. Zalecenia można zobaczyć w portalu , które mają zastosowanie do zasobów.
Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.
Wskazówka
Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.
Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.
Przeczytaj ten blog, aby dowiedzieć się, jak chronić usługę Azure Key Vault i dlaczego kontrola dostępu oparta na rolach platformy Azure ma kluczowe znaczenie dla bezpieczeństwa.
Zalecenia dotyczące usługi Azure Keyvault
Role-Based kontroli dostępu należy używać w usługach Keyvault
Opis: Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonać, użyj Role-Based kontroli dostępu (RBAC), aby zarządzać uprawnieniami w usłudze Keyvault i skonfigurować odpowiednie zasady autoryzacji. (Powiązane zasady: Usługa Azure Key Vault powinna używać modelu uprawnień RBAC — Microsoft Azure).
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia
Opis: Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. (Powiązane zasady: Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia).
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Klucze usługi Key Vault powinny mieć datę wygaśnięcia
Opis: Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. (Powiązane zasady: Klucze usługi Key Vault powinny mieć datę wygaśnięcia).
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Magazyny kluczy powinny mieć włączone usuwanie nietrwałe
Opis: Usuwanie magazynu kluczy bez włączenia usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie sejfu na klucze może prowadzić do trwałej utraty danych. Funkcja miękkiego usuwania umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy w konfigurowalnym okresie przechowywania. (Powiązane zasady: Magazyny kluczy powinny mieć włączone usuwanie nietrwałe).
Ważność: Wysoka
Typ: Płaszczyzna sterowania
Usługa Azure Key Vault powinna mieć wyłączoną zaporę lub dostęp do sieci publicznej
Opis: Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP lub wyłączył dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci.
Dowiedz się więcej na stronie: Zabezpieczenia sieci dla usługi Azure Key Vault i https://aka.ms/akvprivatelink. (Powiązane zasady: usługa Azure Key Vault powinna mieć wyłączoną zaporę lub dostęp do sieci publicznej).
Ważność: średnia
Typ: Płaszczyzna sterowania
Usługa Azure Key Vaults powinna używać łącza prywatnego
Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Przypisując prywatne punkty końcowe do magazynu kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: [https://aka.ms/akvprivatelink.] (Powiązane zasady: Usługa Azure Key Vaults powinna używać linku prywatnego).
Ważność: średnia
Typ: Płaszczyzna sterowania