Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults

Por Que Isso é Importante

Segredos armazenados no Azure Key Vault sem datas de expiração podem ser esquecidos e permanecer ativos indefinidamente. Isso cria um risco significativo de segurança, pois segredos comprometidos ou desatualizados podem ser explorados por invasores. Definir datas de expiração garante que os segredos sejam rotacionados automaticamente e não possam ser usados além de seu tempo de vida pretendido, reduzindo a superfície de ataque.

O Que o Aether365 Verifica

O Aether365 verifica se todos os segredos em Azure Key Vaults não-RBAC têm uma data de expiração configurada. Essa verificação aparece no painel do Aether365 sob a categoria azure-azure-keyvault.

Como Corrigir

1. Faça login no Azure Portal e navegue até Key vaults.
2. Selecione cada Key vault que não usa controle de acesso baseado em função (RBAC).
3. Em Settings, clique em Secrets.
4. Para cada segredo, certifique-se de que Enabled? está definido como Yes.
5. Defina uma Expiration date apropriada para cada segredo com base na política de rotação da sua organização.

Conformidade

• CIS Microsoft Azure Foundations 3.0.0: 3.3.4 (Nível 1)
• Essa verificação suporta as diretrizes EIDSCA e CISA para gerenciamento do ciclo de vida de credenciais.

Recursos Relacionados

• Visão geral do Azure Key Vault (Microsoft Learn)

Microsoft references

• About keys secrets and certificates