Ensure that storage account access keys are periodically regenerated
Por Que Isso é Importante
As chaves de acesso da conta de armazenamento concedem acesso total e irrestrito a todos os dados dentro da conta. Se uma chave for inadvertidamente exposta por meio de um aplicativo mal configurado ou um serviço comprometido, um invasor pode ler, modificar ou excluir blobs, filas, tabelas ou arquivos de armazenamento. Regenerar essas chaves em um cronograma regular limita a janela de exposição e força qualquer chave vazada a se tornar inútil com o tempo.
O Que Aether365 Verifica
O Aether365 verifica se as chaves de acesso da conta de armazenamento são regeneradas em um intervalo alinhado com a política de segurança da sua organização. Esta verificação aparece no painel do Aether365 sob a seção azure-storage-accounts.
Como Corrigir
- Faça login no Azure portal e navegue até Storage accounts.
- Selecione a conta de armazenamento que deseja atualizar.
- No menu à esquerda, em Security + networking, clique em Access keys.
- Clique em Regenerate para a chave que deseja rotacionar (key1 ou key2).
- Atualize todos os aplicativos e serviços clientes que usam a chave antiga com a nova chave.
- Agende a regeneração de chaves como parte do seu ciclo de manutenção regular. A Microsoft recomenda regenerar as chaves a cada 90 dias, mas você deve seguir a política da sua organização.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Nível 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Recursos Relacionados
- Regenerar chaves de acesso de armazenamento
- PA-1: Proteger e limitar usuários altamente privilegiados
- PA-2: Restringir acesso administrativo a sistemas críticos de negócios
- IM-2: Gerenciar identidades de aplicativos de forma segura e automática
- GS-6: Definir estratégia de identidade e acesso privilegiado