Ensure that storage account access keys are periodically regenerated
Dlaczego to jest ważne
Klucze dostępu do konta magazynu przyznają pełny, nieograniczony dostęp do wszystkich danych w ramach konta. Jeśli klucz zostanie przypadkowo ujawniony przez źle skonfigurowaną aplikację lub naruszone usługi, osoba atakująca może odczytywać, modyfikować lub usuwać obiekty blob, kolejki, tabele lub pliki magazynu. Regularne odtwarzanie tych kluczy w ustalonym harmonogramie ogranicza czas narażenia i powoduje, że wszelkie wyciekłe klucze stają się z czasem bezużyteczne.
Co sprawdza Aether365
Aether365 weryfikuje, czy klucze dostępu do konta magazynu są odtwarzane w odstępach czasu zgodnych z polityką bezpieczeństwa Twojej organizacji. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji azure-storage-accounts.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do Storage accounts.
- Wybierz konto magazynu, które chcesz zaktualizować.
- W menu po lewej stronie, w sekcji Security + networking, kliknij Access keys.
- Kliknij Regenerate dla klucza, który chcesz wymienić (key1 lub key2).
- Zaktualizuj wszystkie aplikacje klienckie i usługi używające starego klucza, zastępując go nowym.
- Zaplanuj odtwarzanie kluczy jako część regularnego cyklu konserwacji. Firma Microsoft zaleca odtwarzanie kluczy co 90 dni, jednak należy stosować się do polityki własnej organizacji.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Poziom 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Powiązane zasoby
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy