Ensure that Shared Access Signature Tokens Expire Within an Hour
Kāpēc tas ir svarīgi
Koplietojamās piekļuves paraksta ("Shared Access Signature" jeb SAS) marķieri piešķir deleģētu piekļuvi Azure Storage resursiem, neatklājot konta atslēgu. Ja SAS marķierim ir pārmērīgi garš derīguma termiņš, tas palielina nesankcionētas piekļuves risku, ja marķieris tiek nopludināts vai pārtverts. Ierobežojot SAS marķieru derīguma termiņu līdz vienai stundai, tiek samazināts iedarbības logs un tas atbilst drošības paraugpraksēm attiecībā uz pagaidu piekļuves deleģēšanu.
Ko pārbauda Aether365
Aether365 pārbauda, vai koplietojamās piekļuves paraksta marķieri ir konfigurēti tā, lai to derīguma termiņš beigtos vienas stundas laikā no to sākuma laika. Šī pārbaude ir redzama Aether365 informācijas panelī kategorijā "azure-storage-accounts".
Kā to labot
Veiciet šīs darbības, lai konfigurētu SAS marķierus ar derīguma termiņu, kas ir viena stunda vai mazāk:
- Azure Portal dodieties uz Storage Accounts.
- Izvēlieties krātuves kontu, kuram nepieciešams ģenerēt SAS marķieri.
- Sadaļā Security + networking izvēlieties Shared access signature.
- Izvēlieties atbilstošos Allowed resource types atbilstoši jūsu prasībām.
- Iestatiet Start un Expiry datuma un laika laukus tā, lai ilgums būtu vienas stundas robežās.
- Noklikšķiniet uz Generate SAS and connection string, lai izveidotu marķieri.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
- Microsoft Azure Security Benchmark