Ensure that Shared Access Signature Tokens Expire Within an Hour

Warum dies wichtig ist

Shared Access Signature-Tokens gewähren delegierten Zugriff auf Azure Storage-Ressourcen, ohne den Kontoschlüssel offenzulegen. Wenn ein SAS-Token eine übermäßig lange Gültigkeitsdauer hat, erhöht dies das Risiko eines unbefugten Zugriffs, falls das Token preisgegeben oder abgefangen wird. Die Beschränkung von SAS-Tokens auf einen Ablauf innerhalb einer Stunde minimiert das Expositionsfenster und entspricht den Sicherheitsbest Practices für die vorübergehende Zugriffsdelegierung.

Was Aether365 prüft

Aether365 überprüft, ob Shared Access Signature-Tokens so konfiguriert sind, dass sie innerhalb einer Stunde ab ihrer Startzeit ablaufen. Diese Prüfung wird im Aether365-Dashboard unter der Kategorie azure-storage-accounts angezeigt.

So beheben Sie das Problem

Führen Sie die folgenden Schritte aus, um SAS-Tokens mit einer Ablaufzeit von einer Stunde oder weniger zu konfigurieren:

1. Navigieren Sie im Azure Portal zu Storage Accounts.
2. Wählen Sie das Speicherkonto aus, für das Sie ein SAS-Token generieren möchten.
3. Wählen Sie unter Security + networking die Option Shared access signature.
4. Wählen Sie basierend auf Ihren Anforderungen die entsprechenden Allowed resource types aus.
5. Legen Sie die Felder für Start und Expiry (Datum und Uhrzeit) so fest, dass die Dauer innerhalb einer Stunde liegt.
6. Klicken Sie auf Generate SAS and connection string, um das Token zu erstellen.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
• Microsoft Azure Security Benchmark

Verwandte Ressourcen

• Delegierender Zugriff mit einer Shared Access Signature
• Übersicht über Azure Storage Shared Access Signatures

Microsoft references

• Delegating access with a shared access signature
• Storage sas overview