Ensure that the Expiration Date is set for all Secrets in RBAC Key Vaults
Защо това е важно
Тайни в Azure Key Vault, които никога не изтичат, представляват постоянен риск за сигурността. Ако дадена тайна бъде компрометирана, няма автоматичен механизъм за ограничаване на злоупотребата с нея. Като задавате дати на изтичане, налагате жизнен цикъл на тайните, като гарантирате, че те се ротират и не могат да се използват след одобрен период от време.
Какво проверява Aether365
Aether365 проверява дали всяка тайна в Azure Key Vault с активиран RBAC има зададена дата на изтичане. Тази проверка се появява в таблото на Aether365 под проверки azure-azure-keyvault и ви предупреждава за всички тайни, на които липсва този съществен атрибут.
Как да поправите
- Влезте в Azure Portal и навигирайте до
Key vaults. - Изберете всяко хранилище Key vault, което използва RBAC разрешения.
- В лявото меню щракнете върху
Secrets. - Прегледайте списъка с тайни и се уверете, че
Enabled?е зададено на Yes. - За всяка тайна без дата на изтичане щракнете върху нея, след което изберете раздела
Properties. Задайте подходяща Expiration date и запазете промените си. - Повторете за всички тайни в хранилището и за всички подходящи Key vaults.
Съответствие
- Рамка: CIS Microsoft Azure Foundations 3.0.0
- Идентификатор на контрол: 3.3.3 (Ниво 1)
- EIDSCA: Не е приложимо
- CISA: Не е приложимо