Ensure that Shared Access Signature Tokens Expire Within an Hour
Proč na tom záleží
Tokeny sdíleného přístupového podpisu (SAS) poskytují delegovaný přístup k prostředkům Azure Storage, aniž by odhalovaly klíč účtu. Pokud má token SAS příliš dlouhou dobu platnosti, zvyšuje se riziko neoprávněného přístupu v případě jeho úniku nebo zachycení. Omezením platnosti tokenů SAS na maximálně jednu hodinu se minimalizuje doba možného zneužití, což je v souladu s bezpečnostními doporučeními pro dočasné delegování přístupu.
Co kontroluje Aether365
Aether365 ověřuje, že tokeny sdíleného přístupového podpisu jsou nastaveny tak, aby vypršely do jedné hodiny od svého počátku. Tato kontrola se zobrazuje v řídicím panelu Aether365 v kategorii azure-storage-accounts.
Jak to opravit
Postupujte podle následujících kroků pro nastavení tokenů SAS s dobou platnosti jedné hodiny nebo kratší:
- V Azure Portal přejděte na Storage Accounts.
- Vyberte účet úložiště, pro který potřebujete vygenerovat token SAS.
- V části Security + networking zvolte Shared access signature.
- Vyberte příslušné Allowed resource types podle svých požadavků.
- Nastavte pole Start a Expiry tak, aby doba trvání nepřesáhla jednu hodinu.
- Klikněte na Generate SAS and connection string pro vytvoření tokenu.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Úroveň 1)
- Microsoft Azure Security Benchmark