Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults

Kāpēc tas ir svarīgi

Azure Key Vault glabātie noslēpumi, kuriem nav noteikts derīguma termiņš, var tikt aizmirsti un palikt aktīvi beztermiņa. Tas rada būtisku drošības risku, jo apdraudēti vai novecojuši noslēpumi var tikt izmantoti uzbrucēju rīcībā. Nosakot derīguma termiņus, tiek nodrošināta automātiska noslēpumu rotācija un to neizmantošana ārpus plānotā dzīves cikla, tādējādi samazinot iespējamo uzbrukumu virsmu.

Ko pārbauda Aether365

Aether365 pārbauda, vai visiem noslēpumiem Azure Key Vault resursos, kas neizmanto lomu piekļuves kontroli (RBAC), ir konfigurēts derīguma termiņš. Šī pārbaude ir atrodama Aether365 informācijas panelī sadaļā azure-azure-keyvault.

Kā labot

1. Autorizējieties Azure Portal un atveriet Key vaults.
2. Atlasiet katru Key Vault, kas neizmanto uz lomām balstītu piekļuves kontroli (RBAC).
3. Sadaļā Settings noklikšķiniet uz Secrets.
4. Katram noslēpumam pārliecinieties, ka lauks Enabled? ir iestatīts uz Yes.
5. Katram noslēpumam norādiet atbilstošu Expiration date atbilstoši jūsu organizācijas rotācijas politikai.

Atbilstība

• CIS Microsoft Azure Foundations 3.0.0: 3.3.4 (1. līmenis)
• Šī pārbaude atbilst EIDSCA un CISA vadlīnijām par akreditācijas datu dzīves cikla pārvaldību.

Saistītie resursi

• Azure Key Vault pārskats (Microsoft Learn)

Microsoft references

• About keys secrets and certificates