Ensure the key vault is recoverable
Kāpēc tas ir svarīgi
Azure Key Vault glabā šifrēšanas atslēgas, noslēpumus un sertifikātus, kas ir būtiski jūsu infrastruktūrai un lietojumprogrammām. Ja nejauši vai ļaunprātīgi tiek izdzēsta atslēgu krātuve, visas atkarīgās sistēmas, piemēram, krātuves konti, SQL datubāzes un autentifikācijas mehānismi, var kļūt nepieejami, izraisot tūlītēju datu zudumu un darbības traucējumus. Iespējojot soft delete un purge protection, tiek nodrošināts, ka pat tad, ja krātuve tiek izdzēsta, to un tās objektus var atjaunot 90 dienu laikā, un tos nevar neatgriezeniski dzēst.
Ko Aether365 pārbauda
Aether365 pārbauda, vai jūsu Azure Key Vaults ir iestatīti enableSoftDelete un enablePurgeProtection uz true. Šī pārbaude tiek parādīta Aether365 informācijas panelī zem azure-azure-keyvault pārbaužu sadaļas un atbilst CIS Microsoft Azure Foundations ieteikumam 3.3.5.
Kā novērst problēmu
- Pierakstieties Azure portal un dodieties uz savu atslēgu krātuves resursu.
- Pašlaik Azure portal neatbalsta šo īpašību tiešu atjaunināšanu. Tā vietā izmantojiet šo Azure CLI komandu.
- Atveriet Azure Cloud Shell vai vietējo CLI un izpildiet tālāk norādīto komandu, aizstājot
<resourceGroupName>un<keyVaultName>ar savu vērtībām:bashaz resource update --id /subscriptions/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/<resourceGroupName>/providers/Microsoft.KeyVault/vaults/<keyVaultName> --set properties.enablePurgeProtection=true properties.enableSoftDelete=true - Apstipriniet atjauninājumu, izpildot
az keyvault show --name <keyVaultName> --resource-group <resourceGroupName>, un pārbaudiet, vai abi parametri ir iestatīti uztrue. - Ņemiet vērā, ka, tiklīdz šie iestatījumi ir iespējoti, tos nevar atcelt, un visas lomu piešķires, kas zudušas krātuves dzēšanas laikā, pēc atjaunošanas ir jāizveido no jauna.
Atbilstība standartiem
- CIS Microsoft Azure Foundations 3.0.0 3.3.5 (Level 1)
- Microsoft cloud security benchmark (iepriekš Azure Security Benchmark)
- NIST SP 800-53 (saistīts ar datu atjaunošanu un aizsardzību)