Ensure that storage account access keys are periodically regenerated

Proč na tom záleží

Přístupové klíče k účtu úložiště poskytují plný, neomezený přístup ke všem datům v daném účtu. Pokud dojde k neúmyslnému úniku klíče v důsledku chybně nakonfigurované aplikace nebo napadené služby, útočník může číst, měnit nebo mazat objekty blob, fronty, tabulky či soubory v úložišti. Pravidelná regenerace těchto klíčů v pravidelném intervalu omezuje dobu možného zneužití a způsobí, že všechny uniklé klíče se časem stanou nepoužitelnými.

Co Aether365 kontroluje

Aether365 ověřuje, že přístupové klíče k účtu úložiště jsou regenerovány v intervalu, který odpovídá bezpečnostní politice vaší organizace. Tato kontrola se zobrazuje na řídicím panelu Aether365 v části azure-storage-accounts.

Jak to opravit

1. Přihlaste se na Azure Portal a přejděte na Storage accounts.
2. Vyberte účet úložiště, který chcete aktualizovat.
3. V levé nabídce v části Security + networking klikněte na Access keys.
4. Klikněte na Regenerate pro klíč, který chcete obměnit (buď key1 nebo key2).
5. Aktualizujte všechny klientské aplikace a služby, které používají starý klíč, novým klíčem.
6. Naplánujte regeneraci klíčů jako součást svého pravidelného cyklu údržby. Společnost Microsoft doporučuje regenerovat klíče každých 90 dní, měli byste se však řídit politikou vaší organizace.

Shoda s předpisy

• CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
• Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6

Související zdroje

• Regenerate storage access keys
• PA-1: Protect and limit highly privileged users
• PA-2: Restrict administrative access to business-critical systems
• IM-2: Manage application identities securely and automatically
• GS-6: Define identity and privileged access strategy

Microsoft references

• Storage create storage account
• Security controls v2 privileged access
• Security controls v2 privileged access
• Security controls v2 identity management
• Security controls v2 governance strategy