Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults
Dlaczego to ma znaczenie
Wpisy tajne przechowywane w Azure Key Vault bez dat wygaśnięcia mogą zostać zapomniane i pozostawać aktywne bezterminowo. Stwarza to poważne ryzyko bezpieczeństwa, ponieważ skompromitowane lub nieaktualne wpisy tajne mogą być wykorzystane przez atakujących. Ustawienie dat wygaśnięcia zapewnia automatyczną rotację wpisów tajnych i uniemożliwia ich użycie poza zamierzonym okresem ważności, zmniejszając powierzchnię ataku.
Co sprawdza Aether365
Aether365 weryfikuje, czy wszystkie wpisy tajne w innych niż RBAC Azure Key Vault mają skonfigurowaną datę wygaśnięcia. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w kategorii azure-azure-keyvault.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do Key vaults.
- Wybierz każdy Key vault, który nie używa kontroli dostępu opartej na rolach (RBAC).
- W obszarze Settings kliknij Secrets.
- Dla każdego wpisu tajnego upewnij się, że Enabled? jest ustawione na Yes.
- Ustaw odpowiednią Expiration date dla każdego wpisu tajnego zgodnie z polityką rotacji w organizacji.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0: 3.3.4 (Poziom 1)
- To sprawdzenie wspiera wytyczne EIDSCA oraz CISA dotyczące zarządzania cyklem życia danych uwierzytelniających.