Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden alle Keyvault-Sicherheitsempfehlungen aufgeführt, die möglicherweise in Microsoft Defender für Cloud angezeigt werden.
Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration. Sie können die Empfehlungen im Portal sehen, die für Ihre Ressourcen gelten.
Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.
Tipp
Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.
Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.
Lesen Sie diesen Blog, um zu erfahren, wie Sie Ihren Azure Key Vault schützen und warum die Azure-Rollenbasierte Zugriffssteuerung für die Sicherheit von entscheidender Bedeutung ist.
Azure Keyvault-Empfehlungen
Role-Based Zugriffssteuerung sollte für Keyvault Services verwendet werden
Beschreibung: Verwenden Sie Role-Based Zugriffssteuerung (RBAC) zum Verwalten von Berechtigungen in Keyvault Service und zum Konfigurieren relevanter Autorisierungsrichtlinien, um eine präzise Filterung der Aktionen bereitzustellen, die Benutzer ausführen können. (Verwandte Richtlinie: Azure Key Vault sollte das RBAC-Berechtigungsmodell – Microsoft Azure) verwenden.
Schweregrad: hoch
Typ: Steuerebene
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen.
Beschreibung: Geheime Schlüssel sollten ein definiertes Ablaufdatum haben und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. (Verwandte Richtlinie: Schlüsseltresorschlüssel sollten ein Ablaufdatum haben).
Schweregrad: hoch
Typ: Steuerebene
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen.
Beschreibung: Kryptografieschlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. (Verwandte Richtlinie: Schlüsseltresorschlüssel sollten ein Ablaufdatum haben).
Schweregrad: hoch
Typ: Steuerebene
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein.
Beschreibung: Durch das Löschen eines Schlüsseltresors ohne vorläufiges Löschen werden alle geheimen Schlüssel, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, endgültig gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. (Verwandte Richtlinie: Schlüsseltresor sollten "Vorläufig löschen" aktiviert sein.
Schweregrad: hoch
Typ: Steuerebene
Azure Key Vault sollte die Firewall aktiviert oder der Zugriff auf öffentliche Netzwerke deaktiviert sein.
Beschreibung: Aktivieren Sie die Schlüsseltresorfirewall, damit der Schlüsseltresor standardmäßig nicht auf öffentliche IPs zugreifen kann oder den Zugriff auf öffentliche Netzwerke für Ihren Schlüsseltresor deaktiviert, sodass er nicht über das öffentliche Internet zugänglich ist. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken.
Weitere Informationen finden Sie unter: Netzwerksicherheit für Azure Key Vault und https://aka.ms/akvprivatelink. (Verwandte Richtlinie: Azure Key Vault sollte die Firewall aktiviert oder der Zugriff auf öffentliche Netzwerke deaktiviert sein).
Schweregrad: Mittel
Typ: Steuerebene
Azure Key Vault-Instanzen müssen private Verbindungen verwenden
Beschreibung: Mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Links finden Sie unter: [https://aka.ms/akvprivatelink.] (Verwandte Richtlinie: Azure Key Vaults sollten einen privaten Link verwenden).
Schweregrad: Mittel
Typ: Steuerebene