Ensure that the Expiration Date is set for all Secrets in Non-RBAC Key Vaults

De ce contează acest lucru

Secretele stocate în Azure Key Vault fără date de expirare pot fi uitate și pot rămâne active la infinit. Acest lucru creează un risc semnificativ de securitate, deoarece secretele compromise sau învechite pot fi exploatate de atacatori. Setarea datelor de expirare asigură rotirea automată a secretelor și imposibilitatea utilizării lor dincolo de durata de viață intenționată, reducând suprafața de atac.

Ce verifică Aether365

Aether365 verifică dacă toate secretele din Azure Key Vault-uri non-RBAC au o dată de expirare configurată. Această verificare apare în tabloul de bord Aether365 sub categoria azure-azure-keyvault.

Cum se remediază

1. Conectați-vă la Azure Portal și navigați la Key vaults.
2. Selectați fiecare Key vault care nu utilizează controlul accesului bazat pe roluri (RBAC).
3. Sub Settings, faceți clic pe Secrets.
4. Pentru fiecare secret, asigurați-vă că Enabled? este setat la Yes.
5. Setați o Expiration date adecvată pentru fiecare secret, în conformitate cu politica de rotire a organizației dumneavoastră.

Conformitate

• CIS Microsoft Azure Foundations 3.0.0: 3.3.4 (Nivelul 1)
• Această verifică sprijină liniile directoare EIDSCA și CISA pentru gestionarea ciclului de viață al acreditărilor.

Resurse conexe

• Azure Key Vault overview (Microsoft Learn)

Microsoft references

• About keys secrets and certificates