Ensure that storage account access keys are periodically regenerated

Kādēļ tas ir svarīgi

Storage account piekļuves atslēgas nodrošina pilnīgu, neierobežotu piekļuvi visiem konta datiem. Ja atslēga netīšām tiek atklāta, izmantojot nepareizi konfigurētu lietojumprogrammu vai apdraudētu pakalpojumu, uzbrucējs var lasīt, modificēt vai dzēst storage blobs, rindas, tabulas vai failus. Regulāra šo atslēgu atjaunošana ierobežo atklātības logu un liek jebkurām nopludinātajām atslēgām laika gaitā kļūt nederīgām.

Ko pārbauda Aether365

Aether365 pārbauda, vai storage account piekļuves atslēgas tiek atjaunotas ar intervālu, kas atbilst jūsu organizācijas drošības politikai. Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā azure-storage-accounts.

Kā novērst problēmu

1. Piesakieties Azure portal un dodieties uz Storage accounts.
2. Izvēlieties storage account, kuru vēlaties atjaunināt.
3. Kreisajā izvēlnē sadaļā Security + networking noklikšķiniet uz Access keys.
4. Noklikšķiniet uz Regenerate atslēgai, kuru vēlaties nomainīt (vai nu key1 vai key2).
5. Atjauniniet visas klienta lietojumprogrammas un pakalpojumus, kas izmanto veco atslēgu, ar jauno atslēgu.
6. Ieplānojiet atslēgu atjaunošanu kā daļu no regulārās uzturēšanas cikla. Microsoft iesaka atjaunot atslēgas ik pēc 90 dienām, taču jums jāievēro savas organizācijas politika.

Atbilstība normatīviem

• CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
• Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6

Saistītie resursi

• Regenerate storage access keys
• PA-1: Protect and limit highly privileged users
• PA-2: Restrict administrative access to business-critical systems
• IM-2: Manage application identities securely and automatically
• GS-6: Define identity and privileged access strategy

Microsoft references

• Storage create storage account
• Security controls v2 privileged access
• Security controls v2 privileged access
• Security controls v2 identity management
• Security controls v2 governance strategy