Ensure the key vault is recoverable
Miks see on oluline
Azure Key Vault salvestab krüptovõtmeid, salasõnu ja sertifikaate, mis on teie taristu ja rakenduste jaoks kriitilise tähtsusega. Kui võtmehoidla kustutatakse kas kogemata või pahatahtlikult, muutuvad kõik sõltuvad teenused, nagu salvestuskontod, SQL-andmebaasid ja autentimismehhanismid, kättesaamatuks, põhjustades kohest andmekadu ja tegevushäireid. Pehme kustutamise ja puhastuskaitse lubamine tagab, et isegi kui võtmehoidla kustutatakse, jäävad see ja selle objektid 90 päeva jooksul taastatavaks ning neid ei saa jäädavalt eemaldada.
Mida Aether365 kontrollib
Aether365 kontrollib, et nii enableSoftDelete kui ka enablePurgeProtection oleksid teie Azure Key Vault'ides seatud väärtusele true. See kontroll kuvatakse Aether365 armatuurlaual jaotises azure-azure-keyvault kontrollid ja on kooskõlas CIS Microsoft Azure Foundations'i soovitusega 3.3.5.
Kuidas parandada
- Logige sisse Azure portaali ja minge oma võtmehoidla ressursi juurde.
- Praegu ei toeta Azure portaal nende omaduste otse uuendamist. Kasutage selle asemel järgmist Azure CLI käsku.
- Avage Azure Cloud Shell või oma kohalik CLI ja käivitage allolev käsk, asendades
<resourceGroupName>ja<keyVaultName>oma väärtustega:bashaz resource update --id /subscriptions/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/<resourceGroupName>/providers/Microsoft.KeyVault/vaults/<keyVaultName> --set properties.enablePurgeProtection=true properties.enableSoftDelete=true - Kinnitage uuendus, käivitades
az keyvault show --name <keyVaultName> --resource-group <resourceGroupName>ja kontrollides, et mõlemad omadused on seatud väärtuseletrue. - Pange tähele, et kui need sätted on lubatud, ei saa neid tagasi võtta, ja kõik võtmehoidla kustutamise ajal kaotatud rollimäärangud tuleb pärast taastamist uuesti luua.
Vastavusnõuded
- CIS Microsoft Azure Foundations 3.0.0 3.3.5 (Tase 1)
- Microsofti pilveturbe võrdlusuuring (endine Azure'i turbe võrdlusuuring)
- NIST SP 800-53 (seotud andmete taastamise ja kaitsega)