Ensure that the Expiration Date is set for all Secrets in RBAC Key Vaults
Dlaczego to jest ważne
Sekrety w usłudze Azure Key Vault, które nigdy nie wygasają, stanowią trwałe zagrożenie bezpieczeństwa. Jeśli sekret zostanie naruszony, nie istnieje automatyczny mechanizm ograniczający jego niewłaściwe wykorzystanie. Ustawiając daty wygaśnięcia, wymuszasz cykl życia sekretów, zapewniając ich rotację i uniemożliwiając użycie poza zatwierdzonym przedziałem czasowym.
Co sprawdza Aether365
Aether365 weryfikuje, czy każdy sekret w magazynie Azure Key Vault z włączoną kontrolą dostępu opartą na rolach (RBAC) ma ustawioną datę wygaśnięcia. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w ramach kategorii azure-azure-keyvault i ostrzega o wszelkich sekretach pozbawionych tego kluczowego atrybutu.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do sekcji
Key vaults. - Wybierz każdy magazyn kluczy korzystający z uprawnień RBAC.
- W lewym menu kliknij
Secrets. - Przejrzyj listę sekretów i upewnij się, że pole
Enabled?jest ustawione na Yes. - Dla każdego sekretu bez daty wygaśnięcia kliknij na niego, a następnie wybierz zakładkę
Properties. Ustaw odpowiednią Expiration date i zapisz zmiany. - Powtórz dla wszystkich sekretów w magazynie oraz dla wszystkich odpowiednich magazynów kluczy.
Zgodność
- Ramy: CIS Microsoft Azure Foundations 3.0.0
- Identyfikator kontroli: 3.3.3 (Poziom 1)
- EIDSCA: Nie dotyczy
- CISA: Nie dotyczy