Ensure that storage account access keys are periodically regenerated
Γιατί αυτό έχει σημασία
Τα κλειδιά πρόσβασης λογαριασμών αποθήκευσης παρέχουν πλήρη, χωρίς περιορισμούς πρόσβαση σε όλα τα δεδομένα εντός του λογαριασμού. Εάν ένα κλειδί εκτεθεί ακούσια μέσω μιας εσφαλμένα ρυθμισμένης εφαρμογής ή μιας παραβιασμένης υπηρεσίας, ένας εισβολέας μπορεί να διαβάσει, να τροποποιήσει ή να διαγράψει blob, ουρές, πίνακες ή αρχεία αποθήκευσης. Η αναγέννηση αυτών των κλειδιών σε τακτά χρονικά διαστήματα περιορίζει το παράθυρο έκθεσης και αναγκάζει τυχόν διαρρεύσαντα κλειδιά να καταστούν άχρηστα με την πάροδο του χρόνου.
Τι ελέγχει το Aether365
Το Aether365 επαληθεύει ότι τα κλειδιά πρόσβασης λογαριασμών αποθήκευσης αναγεννώνται σε διάστημα που ευθυγραμμίζεται με την πολιτική ασφαλείας του οργανισμού σας. Αυτός ο έλεγχος εμφανίζεται στον πίνακα εργαλείων του Aether365 στην ενότητα azure-storage-accounts.
Πώς να το διορθώσετε
- Συνδεθείτε στην Azure portal και μεταβείτε στις Storage accounts.
- Επιλέξτε τον λογαριασμό αποθήκευσης που θέλετε να ενημερώσετε.
- Στο αριστερό μενού, κάτω από Security + networking, κάντε κλικ στο Access keys.
- Κάντε κλικ στο Regenerate για το κλειδί που θέλετε να περιστρέψετε (είτε key1 είτε key2).
- Ενημερώστε όλες τις εφαρμογές πελάτη και τις υπηρεσίες που χρησιμοποιούν το παλιό κλειδί με το νέο κλειδί.
- Προγραμματίστε την αναγέννηση κλειδιών ως μέρος του τακτικού κύκλου συντήρησής σας. Η Microsoft συνιστά την αναγέννηση κλειδιών κάθε 90 ημέρες, αλλά θα πρέπει να ακολουθείτε την πολιτική του οργανισμού σας.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Επίπεδο 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Σχετικοί Πόροι
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy