Ensure that storage account access keys are periodically regenerated
Защо това е важно
Ключовете за достъп до Storage account предоставят пълен и неограничен достъп до всички данни в рамките на акаунта. Ако даден ключ бъде случайно разкрит чрез неправилно конфигурирано приложение или компрометирана услуга, нападателят може да чете, променя или изтрива storage blobs, опашки (queues), таблици (tables) или файлове (files). Редовното регенериране на тези ключове по зададен график ограничава времевия прозорец за разкриване и гарантира, че всички изтекли ключове стават безполезни с течение на времето.
Какво проверява Aether365
Aether365 проверява дали ключовете за достъп до Storage account се регенерират на интервал, съобразен със сигурностната политика на вашата организация. Тази проверка се появява в таблото за управление на Aether365 в раздела azure-storage-accounts.
Как да го отстраните
- Влезте в Azure portal и навигирайте до Storage accounts.
- Изберете Storage account, който искате да актуализирате.
- В лявото меню, под Security + networking, кликнете върху Access keys.
- Кликнете върху Regenerate за ключа, който искате да ротирате (или key1, или key2).
- Актуализирайте всички клиентски приложения и услуги, които използват стария ключ, като го замените с новия.
- Планирайте регенерирането на ключовете като част от редовния ви цикъл на поддръжка. Microsoft препоръчва регенериране на ключовете на всеки 90 дни, но трябва да следвате политиката на вашата организация.
Съответствие с изискванията
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Свързани ресурси
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy