Ensure that Shared Access Signature Tokens Expire Within an Hour
Γιατί έχει σημασία
Τα διακριτικά Shared Access Signature (SAS) παρέχουν εξουσιοδοτημένη πρόσβαση σε πόρους του Azure Storage χωρίς να εκθέτουν το κλειδί του λογαριασμού. Εάν ένα διακριτικό SAS έχει υπερβολικά μεγάλη περίοδο λήξης, αυξάνεται ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης σε περίπτωση διαρροής ή υποκλοπής του. Περιορίζοντας τη λήξη των διακριτικών SAS εντός μιας ώρας, ελαχιστοποιείται το χρονικό παράθυρο έκθεσης και ευθυγραμμίζεται με τις βέλτιστες πρακτικές ασφαλείας για την προσωρινή ανάθεση πρόσβασης.
Τι ελέγχει το Aether365
Το Aether365 επαληθεύει ότι τα διακριτικά Shared Access Signature έχουν ρυθμιστεί να λήγουν εντός μίας ώρας από τη στιγμή έναρξης τους. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 στην κατηγορία azure-storage-accounts.
Πώς να το διορθώσετε
Ακολουθήστε αυτά τα βήματα για να ρυθμίσετε τα διακριτικά SAS με χρόνο λήξης μίας ώρας ή λιγότερο:
- Στο Azure Portal, μεταβείτε στο στοιχείο Storage Accounts.
- Επιλέξτε τον λογαριασμό αποθήκευσης για τον οποίο χρειάζεται να δημιουργήσετε ένα διακριτικό SAS.
- Στην ενότητα Security + networking, επιλέξτε Shared access signature.
- Επιλέξτε τους κατάλληλους Allowed resource types με βάση τις απαιτήσεις σας.
- Ρυθμίστε τα πεδία ημερομηνίας και ώρας Start και Expiry έτσι ώστε η διάρκεια να είναι εντός μίας ώρας.
- Κάντε κλικ στο Generate SAS and connection string για να δημιουργηθεί το διακριτικό.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Επίπεδο 1)
- Microsoft Azure Security Benchmark