Ensure that Shared Access Signature Tokens Expire Within an Hour
Защо това е важно
Токените за споделен достъп (SAS) предоставят делегиран достъп до ресурсите на Azure Storage, без да излагат ключа на акаунта. Ако един SAS токен има прекалено дълъг срок на валидност, това увеличава риска от неоторизиран достъп, ако токенът бъде изтекъл или прихванат. Ограничаването на срока на валидност на SAS токените до един час минимизира прозореца на експозиция и е в съответствие с най-добрите практики за сигурност при временно делегиране на достъп.
Какво проверява Aether365
Aether365 проверява дали токените за споделен достъп са конфигурирани да изтичат до един час от началния си час. Тази проверка се появява в таблото на Aether365 под категорията azure-storage-accounts.
Как да коригирате
Следвайте тези стъпки, за да конфигурирате SAS токените с време на изтичане от един час или по-малко:
- В Azure Portal, навигирайте до Storage Accounts.
- Изберете storage акаунта, за който трябва да генерирате SAS токен.
- Под Security + networking, изберете Shared access signature.
- Изберете подходящите Allowed resource types според вашите изисквания.
- Задайте полетата за Start и Expiry дата и час, така че продължителността да е в рамките на един час.
- Кликнете върху Generate SAS and connection string, за да създадете токена.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
- Microsoft Azure Security Benchmark