Ensure that storage account access keys are periodically regenerated
Pourquoi c'est important
Les clés d'accès d'un compte de stockage accordent un accès complet et sans restriction à toutes les données du compte. Si une clé est involontairement exposée via une application mal configurée ou un service compromis, un attaquant peut lire, modifier ou supprimer les blobs, files d'attente, tables ou fichiers de stockage. Régénérer ces clés selon un calendrier régulier limite la fenêtre d'exposition et rend toute clé divulguée inutile avec le temps.
Ce que vérifie Aether365
Aether365 vérifie que les clés d'accès du compte de stockage sont régénérées à un intervalle aligné sur la politique de sécurité de votre organisation. Cette vérification apparaît dans le tableau de bord d'Aether365 sous la section azure-storage-accounts.
Comment corriger
- Connectez-vous au portail Azure et accédez à Storage accounts.
- Sélectionnez le compte de stockage à mettre à jour.
- Dans le menu de gauche, sous Security + networking, cliquez sur Access keys.
- Cliquez sur Regenerate pour la clé que vous souhaitez renouveler (key1 ou key2).
- Mettez à jour toutes les applications et services clients qui utilisent l'ancienne clé avec la nouvelle clé.
- Planifiez la régénération des clés dans le cadre de votre cycle de maintenance régulier. Microsoft recommande de régénérer les clés tous les 90 jours, mais vous devez suivre la politique de votre organisation.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Niveau 2)
- Microsoft Azure Security Benchmark : PA-1, PA-2, IM-2, GS-6
Ressources associées
- Regenerate storage access keys
- PA-1 : Protéger et limiter les utilisateurs hautement privilégiés
- PA-2 : Restreindre l'accès administratif aux systèmes critiques
- IM-2 : Gérer les identités des applications de manière sécurisée et automatique
- GS-6 : Définir la stratégie d'identité et d'accès privilégié