Ensure the key vault is recoverable
Prečo je to dôležité
Azure Key Vault ukladá šifrovacie kľúče, tajomstvá a certifikáty, ktoré sú kritické pre vašu infraštruktúru a aplikácie. Ak je trezor kľúčov náhodne alebo úmyselne odstránený, všetky závislé služby, ako sú účty úložiska, SQL databázy a autentifikačné mechanizmy, sa môžu stať nedostupnými, čo vedie k okamžitej strate údajov a narušeniu prevádzky. Povolenie funkcií "soft delete" a "purge protection" zaisťuje, že aj keď je trezor odstránený, on a jeho objekty zostanú obnoviteľné 90 dní a nie je možné ich natrvalo vymazať.
Čo kontroluje Aether365
Aether365 overuje, či sú enableSoftDelete a enablePurgeProtection nastavené na true vo vašich trezoroch Azure Key Vault. Táto kontrola sa zobrazuje na paneli Aether365 v rámci kontrol azure-azure-keyvault a je v súlade s odporúčaním CIS Microsoft Azure Foundations benchmark 3.3.5.
Ako to opraviť
- Prihláste sa do Azure portal a prejdite na svoj zdroj trezora kľúčov.
- V súčasnosti Azure portal nepodporuje priamu aktualizáciu týchto vlastností. Namiesto toho použite nasledujúci príkaz Azure CLI.
- Otvorte Azure Cloud Shell alebo lokálne CLI a spustite príkaz nižšie, pričom
<resourceGroupName>a<keyVaultName>nahraďte svojimi hodnotami:bashaz resource update --id /subscriptions/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/<resourceGroupName>/providers/Microsoft.KeyVault/vaults/<keyVaultName> --set properties.enablePurgeProtection=true properties.enableSoftDelete=true - Potvrďte aktualizáciu spustením
az keyvault show --name <keyVaultName> --resource-group <resourceGroupName>a skontrolujte, či sú obe vlastnosti nastavené natrue. - Upozorňujeme, že po povolení nie je možné tieto nastavenia vrátiť späť a všetky priradenia rolí stratené počas odstránenia trezora je potrebné po obnovení znova vytvoriť.
Súlad
- CIS Microsoft Azure Foundations 3.0.0 3.3.5 (Úroveň 1)
- Microsoft cloud security benchmark (predtým Azure Security Benchmark)
- NIST SP 800-53 (súvisí s obnovou a ochranou údajov)