vaults
Summary
Details
キー コンテナーでは論理的な削除を有効にする必要があります
Impact: High Category: Disaster Recovery PG Verified: Preview
Description:
Key Vault の論理的な削除機能を使用すると、削除されたコンテナーと、キー、シークレット、証明書などのオブジェクトを回復できます。有効にすると、マークされたリソースは 90 日間保持され、復元が可能になり、基本的に削除を元に戻すことができます。
Potential Benefits:
Enables recovery of deleted items
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// This Resource Graph query will return all Key Vaults that do not have soft delete enabled.
resources
| where type == "microsoft.keyvault/vaults"
| where isnull(properties.enableSoftDelete) or properties.enableSoftDelete != "true"
| project recommendationId = "1cca00d2-d9ab-8e42-a788-5d40f49405cb", name, id, tags, param1 = "EnableSoftDelete: Disabled"
Key Vault ではパージ保護を有効にする必要があります
Impact: Medium Category: Disaster Recovery PG Verified: Preview
Description:
パージ保護は、論理的に削除されたキー コンテナーの保持期間を強制することで悪意のある削除を防ぎ、この期間中は内部関係者や Microsoft であってもキー コンテナーをパージできないようにし、永久的なデータ損失を防ぎます。
Potential Benefits:
Protects from insider attacks, avoids data loss
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// This resource graph query will return all Key Vaults that do not have Purge Protection enabled.
resources
| where type == "microsoft.keyvault/vaults"
| where isnull(properties.enablePurgeProtection) or properties.enablePurgeProtection != "true"
| project recommendationId = "70fcfe6d-00e9-5544-a63a-fff42b9f2edb", name, id, tags, param1 = "EnablePurgeProtection: Disabled"
プライベート エンドポイントは Key Vault 用に構成する必要があります
Impact: Medium Category: Security PG Verified: Preview
Description:
Azure Private Link Service を使用すると、プライベート IP を使用し、パブリック インターネットへの露出を排除して、VNet のプライベート エンドポイント経由で Azure Key Vault に安全かつプライベートに接続できます。
Potential Benefits:
Secure Key Vault with Private Link
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// This resource graph query will return all Key Vaults that does not have a Private Endpoint Connection or where a private endpoint exists but public access is enabled
resources
| where type == "microsoft.keyvault/vaults"
| where isnull(properties.privateEndpointConnections) or properties.privateEndpointConnections[0].properties.provisioningState != ("Succeeded") or (isnull(properties.networkAcls) and properties.publicNetworkAccess == 'Enabled')
| extend param1 = strcat('Private Endpoint: ', iif(isnotnull(properties.privateEndpointConnections),split(properties.privateEndpointConnections[0].properties.privateEndpoint.id,'/')[8],'No Private Endpoint'))
| extend param2 = strcat('Access: ', iif(properties.publicNetworkAccess == 'Disabled', 'Public Access Disabled', iif(isnotnull(properties.networkAcls), 'NetworkACLs in place','Public Access Enabled')))
| project recommendationId = "00c3d2b0-ea6e-4c4b-89be-b78a35caeb51", name, id, tags, param1, param2
環境ごとにアプリケーションごとに個別のキー コンテナーを使用する
Impact: High Category: Governance PG Verified: Preview
Description:
Key Vault は、シークレット ストレージのセキュリティ境界です。シークレットをグループ化すると、攻撃が複数のシークレットにアクセスする可能性があるため、セキュリティ イベント中のリスクが増加します。
Potential Benefits:
Enhanced security, Reduced risk
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
Key Vault の診断ログを有効にする必要があります
Impact: Low Category: Monitoring and Alerting PG Verified: Preview
Description:
ログを有効にし、アラートを設定し、Key Vault アクセスの監視とセキュリティを向上させるための保持要件を遵守し、ユーザーの頻度と ID を詳細に指定します。
Potential Benefits:
Enhanced monitoring and security compliance
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// cannot-be-validated-with-arg