Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista todas as recomendações de segurança do Keyvault que você pode ver no Microsoft Defender para Nuvem.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e na configuração personalizada. Você pode ver as recomendações no portal que se aplicam aos seus recursos.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender para Nuvem.
Dica
Se uma descrição de recomendação disser Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação As falhas de integridade da proteção de ponto de extremidade devem ser corrigidas depende da recomendação que verifica se uma solução de proteção de ponto de extremidade está instalada (a solução de proteção de ponto de extremidade deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas às recomendações fundamentais simplifica o gerenciamento de políticas.
Leia este blog para saber como proteger o Azure Key Vault e por que o controle de acesso baseado em função do Azure é fundamental para a segurança.
Recomendações do Azure Keyvault
Role-Based controle de acesso deve ser usado nos Serviços de Keyvault
Descrição: para fornecer filtragem granular nas ações que os usuários podem executar, use Role-Based RBAC (Controle de Acesso) para gerenciar permissões no Serviço Keyvault e configurar políticas de autorização relevantes. (Política relacionada: o Azure Key Vault deve usar o modelo de permissão RBAC – Microsoft Azure).
Gravidade: Alta
Tipo: Plano de controle
Os segredos do Key Vault devem ter uma data de validade
Descrição: os segredos devem ter uma data de expiração definida e não devem ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. (Política relacionada: Os segredos do Key Vault devem ter uma data de validade).
Gravidade: Alta
Tipo: Plano de controle
As chaves do Key Vault devem ter uma data de validade
Descrição: as chaves criptográficas devem ter uma data de expiração definida e não devem ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. (Política relacionada: As chaves do Key Vault devem ter uma data de validade).
Gravidade: Alta
Tipo: Plano de controle
Os cofres de chaves devem ter a exclusão temporária habilitada
Descrição: a exclusão de um cofre de chaves sem a exclusão reversível habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. (Política relacionada: Os cofres de chaves devem ter a exclusão reversível habilitada).
Gravidade: Alta
Tipo: Plano de controle
O Azure Key Vault deve ter o firewall habilitado ou o acesso à rede pública desabilitado
Descrição: habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs públicos ou desabilite o acesso à rede pública para o cofre de chaves para que ele não seja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes.
Saiba mais em: Segurança de rede para o Azure Key Vault e https://aka.ms/akvprivatelink. (Política relacionada: o Azure Key Vault deve ter o firewall habilitado ou o acesso à rede pública desabilitado).
Severidade: média
Tipo: Plano de controle
Os Azure Key Vaults devem usar um link privado
Descrição: o Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: [https://aka.ms/akvprivatelink.] (Política relacionada: os Cofres de Chaves do Azure devem usar o link privado).
Severidade: média
Tipo: Plano de controle