密钥保管库的 Azure Policy 内置定义
此页是密钥保管库的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
密钥保管库(服务)
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure 密钥保管库应禁用公用网络访问 | 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/akvprivatelink。 | Audit、Deny、Disabled | 1.0.0 |
Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.azure.cn/key-vault/general/network-security | Audit、Deny、Disabled | 3.0.0 |
证书应由指定的集成证书颁发机构颁发 | 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应由指定的非集成证书颁发机构颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
配置密钥保管库以启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.azure.cn/key-vault/general/network-security | 修改,已禁用 | 1.1.1 |
部署 - 为 Azure Key Vault 配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 | 为 Azure Key Vault 部署诊断设置,以便在创建或更新缺少此诊断设置的任何密钥保管库时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.1 |
将 Key Vault 的诊断设置部署到事件中心 | 创建或更新缺少此诊断设置的任何 Key Vault 时,部署 Key Vault 的诊断设置,以便流式传输到区域事件中心。 | deployIfNotExists | 3.0.0 |
将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
密钥保管库应启用清除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织或 Azure 内的任何人都无法在软删除保持期内清除你的密钥保管库。 | Audit、Deny、Disabled | 2.0.0 |
密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.0.0 |
密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
应为机密设置内容类型 | 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
密钥保管库(对象)
名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
---|---|---|---|
[预览]:[预览]:证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.0-preview |
[预览]:[预览]:证书在指定的天数内不应过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0-preview |
证书应由指定的集成证书颁发机构颁发 | 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应由指定的非集成证书颁发机构颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
应为机密设置内容类型 | 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。