Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo lista todas as recomendações de segurança do Keyvault que você pode ver no Microsoft Defender for Cloud.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada. Pode ver as recomendações no portal que se aplicam aos seus recursos.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.
Sugestão
Se uma descrição de recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está instalada (a solução Endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas a recomendações fundamentais simplifica o gerenciamento de políticas.
Leia este blog para saber como proteger seu Cofre da Chave do Azure e por que o controle de acesso baseado em função do Azure é fundamental para a segurança.
Recomendações do Azure Keyvault
Role-Based Controle de Acesso deve ser usado nos Serviços Keyvault
Descrição: Para fornecer filtragem granular sobre as ações que os usuários podem executar, use Role-Based Controle de Acesso (RBAC) para gerenciar permissões no Serviço Keyvault e configurar políticas de autorização relevantes. (Política relacionada: o Azure Key Vault deve usar o modelo de permissão RBAC - Microsoft Azure).
Gravidade: Alta
Tipo: Plano de controle
Os segredos do Key Vault devem ter uma data de validade
Descrição: Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. (Política relacionada: Os segredos do Cofre de Chaves devem ter uma data de validade).
Gravidade: Alta
Tipo: Plano de controle
As chaves do Key Vault devem ter uma data de validade
Descrição: As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. (Política relacionada: As chaves do Cofre da Chave devem ter uma data de validade).
Gravidade: Alta
Tipo: Plano de controle
Os Key Vaults devem ter a eliminação recuperável ativada
Descrição: A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A eliminação acidental de um cofre de chaves pode resultar na perda permanente de dados. A eliminação suave permite que o utilizador recupere um repositório de chaves excluído acidentalmente durante um período de retenção configurável. (Política relacionada: Os cofres de chaves devem ter a exclusão suave ativada).
Gravidade: Alta
Tipo: Plano de controle
O Azure Key Vault deve ter firewall habilitado ou acesso à rede pública desabilitado
Descrição: habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público ou desabilite o acesso à rede pública do cofre de chaves para que ele não seja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes.
Saiba mais em: Segurança de rede para o Azure Key Vault e https://aka.ms/akvprivatelink. (Política relacionada: o Azure Key Vault deve ter firewall habilitado ou acesso à rede pública desabilitado).
Gravidade: Média
Tipo: Plano de controle
Os Azure Key Vaults devem utilizar ligação privada
Descrição: O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados no cofre de chaves, pode-se reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: [https://aka.ms/akvprivatelink.] (Política relacionada: os Cofres de Chaves do Azure devem usar link privado).
Gravidade: Média
Tipo: Plano de controle