Ensure that storage account access keys are periodically regenerated
Warum ist das wichtig?
Speicherkontozugriffsschlüssel gewähren uneingeschränkten Vollzugriff auf alle Daten innerhalb des Kontos. Wird ein solcher Schlüssel versehentlich durch eine fehlkonfigurierte Anwendung oder einen kompromittierten Dienst offengelegt, kann ein Angreifer Speicherblobs, Warteschlangen, Tabellen oder Dateien lesen, ändern oder löschen. Die regelmäßige Neugenerierung dieser Schlüssel begrenzt das Zeitfenster für eine Offenlegung und führt dazu, dass durchgesickerte Schlüssel mit der Zeit wertlos werden.
Was prüft Aether365?
Aether365 überprüft, ob Speicherkontozugriffsschlüssel in einem Intervall neu generiert werden, das der Sicherheitsrichtlinie Ihrer Organisation entspricht. Diese Prüfung wird im Aether365-Dashboard unter dem Bereich azure-storage-accounts angezeigt.
Lösung
- Melden Sie sich beim Azure-Portal an und navigieren Sie zu Speicherkonten.
- Wählen Sie das zu aktualisierende Speicherkonto aus.
- Klicken Sie im linken Menü unter Sicherheit + Netzwerk auf Zugriffsschlüssel.
- Klicken Sie auf Regenerieren für den Schlüssel, den Sie rotieren möchten (entweder key1 oder key2).
- Aktualisieren Sie alle Clientanwendungen und Dienste, die den alten Schlüssel verwenden, mit dem neuen Schlüssel.
- Planen Sie die Schlüsselneugenerierung als Teil Ihres regulären Wartungszyklus. Microsoft empfiehlt eine Neugenerierung alle 90 Tage, Sie sollten jedoch die Richtlinie Ihrer Organisation befolgen.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Zugehörige Ressourcen
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy