Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults
Защо това е важно
Тайните, съхранявани в Azure Key Vault без дата на изтичане, могат да бъдат забравени и да останат активни за неопределено време. Това създава значителен риск за сигурността, тъй като компрометирани или остарели тайни могат да бъдат използвани от атакуващи. Задаването на дати на изтичане гарантира, че тайните се ротират автоматично и не могат да се използват след предвидения им срок на живот, като по този начин се намалява повърхността за атака.
Какво проверява Aether365
Aether365 проверява дали всички тайни в Azure Key Vault, които не използват управление на достъпа на база роли (RBAC), имат конфигурирана дата на изтичане. Тази проверка се показва в таблото ви за управление на Aether365 под категорията azure-azure-keyvault.
Как да коригирате
- Влезте в Azure Portal и отидете на Key vaults.
- Изберете всеки Key vault, който не използва управление на достъпа на база роли (RBAC).
- Под Settings кликнете на Secrets.
- За всяка тайна се уверете, че Enabled? е зададено на Yes.
- Задайте подходяща Expiration date за всяка тайна според политиката за ротация на вашата организация.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0: 3.3.4 (Ниво 1)
- Тази проверка поддържа указанията на EIDSCA и CISA за управление на жизнения цикъл на идентификационните данни.