Ensure that Shared Access Signature Tokens Expire Within an Hour
Hvorfor dette er vigtigt
Signaturer med delt adgang (SAS-tokens) giver delegeret adgang til Azure Storage-ressourcer uden at eksponere kontonøglen. Hvis et SAS-token har en alt for lang udløbsperiode, øger det risikoen for uautoriseret adgang, hvis tokenet lækkes eller opsnappes. Ved at begrænse SAS-tokens til at udløbe inden for en time minimeres eksponeringsvinduet, hvilket er i tråd med bedste sikkerhedspraksis for midlertidig adgangsdelegering.
Hvad Aether365 kontrollerer
Aether365 verificerer, at signaturer med delt adgang er konfigureret til at udløbe inden for en time fra deres starttidspunkt. Denne kontrol vises i Aether365-dashboardet under kategorien azure-storage-accounts.
Sådan løses problemet
Følg disse trin for at konfigurere SAS-tokens med en udløbstid på en time eller mindre:
- I Azure Portal skal du navigere til Storage Accounts.
- Vælg den lagerkonto, som du skal generere et SAS-token til.
- Under Security + networking skal du vælge Shared access signature.
- Vælg de relevante Allowed resource types baseret på dine behov.
- Indstil felterne Start og Expiry for dato og klokkeslæt, så varigheden er inden for en time.
- Klik på Generate SAS and connection string for at oprette tokenet.
Overholdelse
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Niveau 1)
- Microsoft Azure Security Benchmark