Validate SSH Key Expiration.

Proč na tom záleží

SSH klíče poskytují trvalý přístup k prostředkům Azure DevOps. Pokud klíče nemají nastavené datum vypršení platnosti nebo zůstávají platné neomezeně dlouho, může útočník zneužít kompromitovaný nebo zapomenutý klíč k neoprávněnému přístupu, úpravě kódu nebo exfiltraci citlivých dat. Vynucení vypršení platnosti zajišťuje pravidelné obměňování klíčů, čímž se zkracuje okno pro možné zneužití každého jednotlivého pověření.

Co Aether365 kontroluje

Aether365 ověřuje, zda mají všechny SSH klíče přiřazené k organizacím Azure DevOps nastavené datum vypršení platnosti. Tato kontrola se zobrazuje v panelu Aether365 v rámci seznamu kontrol zabezpečení pro microsoft-365.

Jak opravit

Azure DevOps v současnosti nenabízí nativní nastavení pro vynucení vypršení platnosti SSH klíčů pro všechny uživatele. Pro ruční správu vypršení platnosti SSH klíčů:

1. Přejděte do své organizace Azure DevOps.
2. Vyberte "User settings" a poté "SSH public keys".
3. U každého uvedeného klíče zkontrolujte sloupec "Expires". Pokud klíč nemá uvedené datum vypršení platnosti, kontaktujte uživatele a požádejte ho o vygenerování nového klíče s konkrétním datem vypršení.
4. Pro nastavení vypršení platnosti při přidávání nového klíče použijte Azure DevOps CLI nebo REST API. Například pomocí CLI:

   az devops user add --email user@domain.com --license stakeholder --public-key @keyfile.pub --expiration 2025-12-31

5. Pro hromadnou správu zvažte použití PowerShell skriptu, který volá Azure DevOps REST API pro výpis a aktualizaci dat vypršení platnosti klíčů.

Soulad s předpisy

• Rámec: Jiné (není přímo v souladu s CIS, EIDSCA nebo CISA)

Související zdroje

• Správa SSH klíčů v Azure DevOps
• Odkaz na Azure DevOps CLI