Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults
Pourquoi cela est important
Les secrets stockés dans Azure Key Vault sans date d’expiration peuvent être oubliés et rester actifs indéfiniment. Cela crée un risque de sécurité significatif, car des secrets compromis ou obsolètes peuvent être exploités par des attaquants. Définir des dates d’expiration garantit que les secrets sont automatiquement renouvelés et ne peuvent pas être utilisés au-delà de leur durée de vie prévue, réduisant ainsi la surface d’attaque.
Ce que Aether365 vérifie
Aether365 vérifie que tous les secrets des coffres Azure Key Vault non basés sur le contrôle d’accès en fonction du rôle (RBAC) ont une date d’expiration configurée. Cette vérification apparaît dans votre tableau de bord Aether365 sous la catégorie azure-azure-keyvault.
Comment résoudre le problème
- Connectez-vous au Azure Portal et accédez à Key vaults.
- Sélectionnez chaque coffre Key vault qui n’utilise pas le contrôle d’accès en fonction du rôle (RBAC).
- Sous Settings, cliquez sur Secrets.
- Pour chaque secret, assurez-vous que Enabled? est défini sur Yes.
- Définissez une Expiration date appropriée pour chaque secret en fonction de la politique de rotation de votre organisation.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 : 3.3.4 (Niveau 1)
- Cette vérification prend en charge les directives EIDSCA et CISA pour la gestion du cycle de vie des identifiants.