Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults

Perché è importante

I secret archiviati in Azure Key Vault senza date di scadenza possono essere dimenticati e rimanere attivi a tempo indeterminato. Ciò crea un rischio di sicurezza significativo, poiché secret compromessi o obsoleti potrebbero essere sfruttati dagli attaccanti. Impostare date di scadenza garantisce che i secret vengano ruotati automaticamente e non possano essere utilizzati oltre la loro durata prevista, riducendo la superficie di attacco.

Cosa controlla Aether365

Aether365 verifica che tutti i secret negli Azure Key Vault non basati su RBAC abbiano una data di scadenza configurata. Questo controllo appare nella dashboard di Aether365 sotto la categoria azure-azure-keyvault.

Come risolvere

1. Accedi al Azure Portal e vai a Key vaults.
2. Seleziona ogni Key vault che non utilizza il controllo degli accessi basato sui ruoli (RBAC).
3. In Settings, clicca su Secrets.
4. Per ogni secret, assicurati che Enabled? sia impostato su Yes.
5. Imposta una Expiration date appropriata per ogni secret in base alla policy di rotazione della tua organizzazione.

Conformità

• CIS Microsoft Azure Foundations 3.0.0: 3.3.4 (Livello 1)
• Questo controllo supporta le linee guida EIDSCA e CISA per la gestione del ciclo di vita delle credenziali.

Risorse correlate

• Azure Key Vault overview (Microsoft Learn)

Microsoft references

• About keys secrets and certificates