Ensure that Shared Access Signature Tokens Expire Within an Hour
Por Que Isso é Importante
Tokens de assinatura de acesso compartilhado concedem acesso delegado aos recursos do Azure Storage sem expor a chave da conta. Se um token SAS tiver um período de expiração excessivamente longo, aumenta o risco de acesso não autorizado caso o token seja vazado ou interceptado. Restringir a expiração dos tokens SAS a uma hora minimiza a janela de exposição e está alinhado com as melhores práticas de segurança para delegação de acesso temporário.
O Que o Aether365 Verifica
O Aether365 verifica se os tokens de assinatura de acesso compartilhado estão configurados para expirar em até uma hora a partir do horário de início. Essa verificação aparece no painel do Aether365 sob a categoria azure-storage-accounts.
Como Corrigir
Siga estas etapas para configurar tokens SAS com um tempo de expiração de uma hora ou menos:
- No Azure Portal, navegue até Storage Accounts.
- Selecione a conta de armazenamento para a qual você precisa gerar um token SAS.
- Em Security + networking, escolha Shared access signature.
- Selecione os Allowed resource types apropriados com base em seus requisitos.
- Defina os campos de data e hora Start e Expiry para que a duração fique dentro de uma hora.
- Clique em Generate SAS and connection string para criar o token.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Nível 1)
- Microsoft Azure Security Benchmark