Checkov项目中CKV_AZURE_189策略检查的注意事项

在Azure云安全扫描工具Checkov中，CKV_AZURE_189策略用于验证Key Vault是否禁用了公共网络访问。这个策略检查在Bicep模板中的实现存在一些需要注意的技术细节。

策略检查的核心要求

CKV_AZURE_189策略要求Azure Key Vault资源必须显式禁用公共网络访问。在Bicep模板中，这通过设置publicNetworkAccess属性来实现。然而，这个属性的值格式有特定要求：

• 必须使用小写字符串'disabled'
• 大写形式'Disabled'在某些Checkov版本中不会被正确识别

正确的Bicep实现方式

以下是符合CKV_AZURE_189策略要求的Key Vault资源定义示例：

resource keyVault 'Microsoft.KeyVault/vaults@2022-07-01' = {
  name: keyVaultName
  location: location
  properties: {
    sku: {
      family: 'A'
      name: 'standard'
    }
    tenantId: tenant().tenantId
    enablePurgeProtection: true
    enableSoftDelete: true
    publicNetworkAccess: 'disabled'  // 注意必须使用小写
  }
}

参数化实现时的注意事项

当使用参数来设置publicNetworkAccess属性时，需要注意：

1. 参数默认值应设为小写'disabled'
2. 参数应限制允许值为['enabled', 'disabled']
3. Checkov能够识别同一文件中的参数值，但跨文件的参数引用可能无法被正确评估

示例参数化实现：

param publicNetworkAccess string = 'disabled'

resource keyVault 'Microsoft.KeyVault/vaults@2022-07-01' = {
  // 其他配置
  properties: {
    // 其他属性
    publicNetworkAccess: publicNetworkAccess
  }
}

版本兼容性说明

在较新版本的Checkov(3.2.133之后)中，这个问题已经得到改进，现在能够识别'Disabled'和'disabled'两种格式。但为了确保最大兼容性，建议始终使用小写形式。

最佳实践建议

1. 始终显式设置publicNetworkAccess属性，不要依赖默认值
2. 使用小写'disabled'以确保兼容性
3. 在参数定义中使用@allowed装饰器限制有效值
4. 考虑将网络安全配置(包括此属性)集中管理
5. 定期更新Checkov版本以获取最新的策略检查改进

通过遵循这些实践，可以确保Key Vault资源的安全配置既符合策略要求，又能通过Checkov的自动化验证。