重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
本文列出了 Microsoft Defender for Cloud 中可能看到的所有 Keyvault 安全建议。
环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中查看适用于资源的建议。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
小窍门
如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议。
例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅用于基本建议可简化策略管理。
阅读此博客,了解如何 保护 Azure Key Vault 以及为什么 Azure 基于角色的访问控制对于安全性至关重要。
Azure Keyvault 建议
应在 Keyvault 服务上使用 Role-Based 访问控制
说明:若要对用户可以执行的作提供精细筛选,请使用 Role-Based 访问控制(RBAC) 来管理 Keyvault 服务中的权限并配置相关的授权策略。 (相关策略: Azure Key Vault 应使用 RBAC 权限模型 - Azure)。
严重性:高
类型:控制平面
Key Vault 机密应具有到期日期
说明:应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 (相关策略:密钥保管库机密应具有到期日期)。
严重性:高
类型:控制平面
Key Vault 密钥应具有到期日期
说明:应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 (相关策略:密钥保管库密钥应具有过期日期)。
严重性:高
类型:控制平面
密钥保管库应启用软删除
说明:在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 (相关策略:密钥保管库应启用软删除)。
严重性:高
类型:控制平面
Azure Key Vault 应已启用防火墙或禁用公用网络访问
说明:启用密钥保管库防火墙,以便密钥保管库默认无法访问任何公共 IP 或禁用密钥保管库的公共网络访问,以便无法通过公共 Internet 访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。
有关详细信息,请了解以下内容:Azure Key Vault 的网络安全性。https://aka.ms/akvprivatelink (相关策略: Azure Key Vault 应已启用防火墙或禁用公用网络访问)。
严重性:中等
类型:控制平面
Azure 密钥保管库应使用专用链接
说明:使用 Azure 专用链接可将虚拟网络连接到 Azure 服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,网址:[https://aka.ms/akvprivatelink.] (相关策略: Azure Key Vault 应使用专用链接)。
严重性:中等
类型:控制平面