Ensure that Shared Access Signature Tokens Expire Within an Hour
Por Que Es Importante
Los tokens de firma de acceso compartido conceden acceso delegado a los recursos de Azure Storage sin exponer la clave de la cuenta. Si un token SAS tiene un período de caducidad excesivamente largo, aumenta el riesgo de acceso no autorizado en caso de que el token se filtre o se intercepte. Restringir los tokens SAS para que caduquen en una hora minimiza la ventana de exposición y se alinea con las mejores prácticas de seguridad para la delegación de acceso temporal.
Que Comprueba Aether365
Aether365 verifica que los tokens de firma de acceso compartido estén configurados para caducar dentro de una hora desde su hora de inicio. Esta comprobación aparece en el panel de Aether365 bajo la categoría azure-storage-accounts.
Como Solucionarlo
Siga estos pasos para configurar los tokens SAS con un tiempo de caducidad de una hora o menos:
- En Azure Portal, navegue a Storage Accounts.
- Seleccione la cuenta de almacenamiento para la cual necesita generar un token SAS.
- En Security + networking, elija Shared access signature.
- Seleccione los Allowed resource types adecuados según sus requisitos.
- Configure los campos de fecha y hora Start y Expiry para que la duración sea de una hora como maximo.
- Haga clic en Generate SAS and connection string para crear el token.
Cumplimiento Normativo
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Nivel 1)
- Microsoft Azure Security Benchmark