Ensure that storage account access keys are periodically regenerated
Waarom dit belangrijk is
Opslagaccounttoegangssleutels verlenen volledige, onbeperkte toegang tot alle gegevens in het account. Als een sleutel per ongeluk wordt blootgesteld via een verkeerd geconfigureerde applicatie of een gecompromitteerde service, kan een aanvaller opslagblobs, wachtrijen, tabellen of bestanden lezen, wijzigen of verwijderen. Door deze sleutels op een regelmatig schema opnieuw te genereren, beperkt u het blootstellingsvenster en zorgt u ervoor dat eventuele gelekt sleutels na verloop van tijd nutteloos worden.
Wat Aether365 controleert
Aether365 controleert of toegangssleutels voor opslagaccounts opnieuw worden gegenereerd met een interval dat overeenkomt met het beveiligingsbeleid van uw organisatie. Deze controle wordt weergegeven in het Aether365-dashboard onder de sectie azure-storage-accounts.
Hoe u dit oplost
- Meld u aan bij de Azure Portal en navigeer naar Storage accounts.
- Selecteer het opslagaccount dat u wilt bijwerken.
- Klik in het linkermenu onder Security + networking op Access keys.
- Klik op Regenerate voor de sleutel die u wilt roteren (key1 of key2).
- Werk alle clienttoepassingen en services die de oude sleutel gebruiken bij met de nieuwe sleutel.
- Plan het opnieuw genereren van sleutels als onderdeel van uw reguliere onderhoudscyclus. Microsoft raadt aan om sleutels elke 90 dagen opnieuw te genereren, maar u moet het beleid van uw organisatie volgen.
Naleving
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Niveau 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Gerelateerde bronnen
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy