Ensure that Shared Access Signature Tokens Expire Within an Hour
Kodėl tai svarbu
„Shared access signature“ (SAS) raktiniai ženklai suteikia deleguotą prieigą prie „Azure Storage“ išteklių neatskleidžiant paskyros rakto. Jei SAS raktinis ženklas turi pernelyg ilgą galiojimo laikotarpį, tai padidina neteisėtos prieigos riziką, jei raktinis ženklas nutekinamas ar perimamas. Apribojus SAS raktinių ženklų galiojimo laiką iki vienos valandos, sumažinamas poveikio langas ir laikomasi saugos geriausios praktikos, susijusios su laikinu prieigos delegavimu.
Ką tikrina „Aether365“
„Aether365“ patikrina, ar „shared access signature“ raktiniai ženklai sukonfigūruoti taip, kad jie nustotų galioti per vieną valandą nuo jų pradžios laiko. Šis patikrinimas rodomas „Aether365“ prietaisų skydelyje po kategorija „azure-storage-accounts“.
Kaip ištaisyti
Atlikite šiuos veiksmus, kad sukonfigūruotumėte SAS raktinius ženklus, kurių galiojimo laikas yra viena valanda ar trumpesnis:
- Azure Portal, eikite į Storage Accounts.
- Pasirinkite saugyklos paskyrą, kuriai reikia sugeneruoti SAS raktinį ženklą.
- Dalyje Security + networking pasirinkite Shared access signature.
- Atsižvelgdami į jūsų poreikius, pasirinkite tinkamus Allowed resource types.
- Nustatykite Start ir Expiry datų bei laikų laukus taip, kad trukmė būtų ne ilgesnė nei viena valanda.
- Spustelėkite Generate SAS and connection string, kad sukurtumėte raktinį ženklą.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
- Microsoft Azure Security Benchmark