Ensure that Shared Access Signature Tokens Expire Within an Hour
Perché è importante
I token di firma di accesso condiviso concedono accesso delegato alle risorse di Archiviazione di Azure senza esporre la chiave dell'account. Se un token SAS ha un periodo di scadenza eccessivamente lungo, aumenta il rischio di accesso non autorizzato in caso di fuga o intercettazione del token. Limitare la scadenza dei token SAS entro un'ora riduce al minimo la finestra di esposizione e si allinea alle best practice di sicurezza per la delega di accesso temporaneo.
Cosa controlla Aether365
Aether365 verifica che i token di firma di accesso condiviso siano configurati per scadere entro un'ora dalla data di inizio. Questo controllo è visualizzato nel dashboard di Aether365 sotto la categoria azure-storage-accounts.
Come risolvere
Segui questi passaggi per configurare i token SAS con un tempo di scadenza di un'ora o inferiore:
- Nel Azure Portal, passa a Storage Accounts.
- Seleziona l'account di archiviazione per cui devi generare un token SAS.
- Sotto Security + networking, scegli Shared access signature.
- Seleziona i Allowed resource types appropriati in base ai tuoi requisiti.
- Imposta i campi data e ora di Start e Expiry in modo che la durata sia entro un'ora.
- Fai clic su Generate SAS and connection string per creare il token.
Conformità
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Livello 1)
- Microsoft Azure Security Benchmark