Ensure that storage account access keys are periodically regenerated
Por qué es importante
Las claves de acceso de la cuenta de almacenamiento otorgan acceso completo y sin restricciones a todos los datos dentro de la cuenta. Si una clave se expone accidentalmente a través de una aplicación mal configurada o un servicio comprometido, un atacante puede leer, modificar o eliminar blobs, colas, tablas o archivos de almacenamiento. Regenerar estas claves de forma periódica limita la ventana de exposición y hace que cualquier clave filtrada quede inutilizable con el tiempo.
Qué comprueba Aether365
Aether365 verifica que las claves de acceso de la cuenta de almacenamiento se regeneren en un intervalo alineado con la política de seguridad de su organización. Esta comprobación aparece en el panel de Aether365 en la sección azure-storage-accounts.
Cómo solucionarlo
- Inicie sesión en Azure Portal y navegue hasta Storage accounts.
- Seleccione la cuenta de almacenamiento que desea actualizar.
- En el menú izquierdo, en Security + networking, haga clic en Access keys.
- Haga clic en Regenerate para la clave que desea rotar (ya sea key1 o key2).
- Actualice todas las aplicaciones y servicios cliente que usan la clave antigua con la nueva clave.
- Programe la regeneración de claves como parte de su ciclo de mantenimiento habitual. Microsoft recomienda regenerar las claves cada 90 días, pero debe seguir la política de su organización.
Cumplimiento normativo
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Nivel 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Recursos relacionados
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy