Validate SSH Key Expiration.
Warum das wichtig ist
SSH-Schlüssel gewähren dauerhaften Zugriff auf Azure DevOps-Ressourcen. Wenn Schlüsseln kein Ablaufdatum zugewiesen ist oder sie unbegrenzt gültig bleiben, können Angreifer einen kompromittierten oder vergessenen Schlüssel ausnutzen, um unbefugten Zugriff zu erlangen, Code zu ändern oder vertrauliche Daten zu exfiltrieren. Die Erzwingung eines Ablaufdatums stellt sicher, dass Schlüssel regelmäßig rotiert werden, wodurch das Zeitfenster für die Gefährdung durch einzelne Anmeldeinformationen reduziert wird.
Was Aether365 prüft
Aether365 überprüft, ob allen SSH-Schlüsseln, die Azure DevOps-Organisationen zugeordnet sind, ein konfiguriertes Ablaufdatum zugewiesen ist. Diese Prüfung erscheint im Aether365-Dashboard unter der Liste der microsoft-365-Sicherheitsprüfungen.
Behebung
Derzeit bietet Azure DevOps keine native Einstellung, um das Ablaufdatum von SSH-Schlüsseln für alle Benutzer zu erzwingen. Um das Ablaufdatum von SSH-Schlüsseln manuell zu verwalten:
- Navigieren Sie zu Ihrer Azure DevOps-Organisation.
- Wählen Sie "User settings" und dann "SSH public keys".
- Überprüfen Sie für jeden aufgelisteten Schlüssel die Spalte "Expires". Wenn ein Schlüssel kein Ablaufdatum zeigt, kontaktieren Sie den Benutzer und fordern Sie ihn auf, den Schlüssel mit einem bestimmten Ablaufdatum neu zu generieren.
- Um beim Hinzufügen eines neuen Schlüssels ein Ablaufdatum festzulegen, verwenden Sie die Azure DevOps CLI oder REST API. Beispiel mit der CLI:
az devops user add --email user@domain.com --license stakeholder --public-key @keyfile.pub --expiration 2025-12-31 - Für die Massenverwaltung sollten Sie ein PowerShell-Skript in Betracht ziehen, das die Azure DevOps REST API aufruft, um Schlüssel aufzulisten und deren Ablaufdaten zu aktualisieren.
Compliance
- Rahmenwerk: Sonstige (nicht direkt an CIS, EIDSCA oder CISA ausgerichtet)