Ensure the key vault is recoverable
Betydning af dette
Azure Key Vault gemmer krypteringsnøgler, hemmeligheder og certifikater, der er afgørende for din infrastruktur og dine applikationer. Hvis et key vault utilsigtet eller ondsindet bliver slettet, kan alle afhængige tjenester såsom storage-konti, SQL-databaser og godkendelsesmekanismer blive utilgængelige, hvilket fører til øjeblikkeligt datatab og driftsforstyrrelser. Aktivering af soft delete og purge protection sikrer, at selv hvis et vault bliver slettet, forbliver det og dets objekter gendannelige i 90 dage og kan ikke permanent renses.
Hvad Aether365 kontrollerer
Aether365 verificerer, at både enableSoftDelete og enablePurgeProtection er sat til true på dine Azure Key Vaults. Denne kontrol vises i Aether365-dashboardet under kontrollerne azure-azure-keyvault og er i overensstemmelse med CIS Microsoft Azure Foundations benchmark-anbefaling 3.3.5.
Sådan rettes
- Log på Azure-portalen og naviger til din key vault-ressource.
- Azure-portalen understøtter i øjeblikket ikke direkte opdatering af disse egenskaber. Brug i stedet følgende Azure CLI-kommando.
- Åbn Azure Cloud Shell eller din lokale CLI, og kør kommandoen nedenfor, og erstat
<resourceGroupName>og<keyVaultName>med dine værdier:bashaz resource update --id /subscriptions/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/<resourceGroupName>/providers/Microsoft.KeyVault/vaults/<keyVaultName> --set properties.enablePurgeProtection=true properties.enableSoftDelete=true - Bekræft opdateringen ved at køre
az keyvault show --name <keyVaultName> --resource-group <resourceGroupName>og kontrollere, at begge egenskaber er sat tiltrue. - Bemærk, at når disse indstillinger er aktiveret, kan de ikke fortrydes, og eventuelle rolletildelinger, der går tabt under sletning af vaultet, skal genskabes efter gendannelse.
Overholdelse
- CIS Microsoft Azure Foundations 3.0.0 3.3.5 (Niveau 1)
- Microsoft cloud security benchmark (tidligere Azure Security Benchmark)
- NIST SP 800-53 (relateret til datagendannelse og beskyttelse)