Ensure that Shared Access Signature Tokens Expire Within an Hour
De ce este important
Tokenurile SAS (Shared Access Signature) oferă acces delegat la resursele Azure Storage fără a expune cheia contului. Dacă un token SAS are o perioadă de expirare excesiv de lungă, riscul de acces neautorizat crește în cazul în care tokenul este divulgat sau interceptat. Limitarea expirării tokenurilor SAS la maximum o oră reduce fereastra de expunere și respectă cele mai bune practici de securitate pentru delegarea accesului temporar.
Ce verifică Aether365
Aether365 verifică dacă tokenurile SAS sunt configurate să expire în maximum o oră de la momentul startului. Această verificare apare în tabloul de bord Aether365, în categoria azure-storage-accounts.
Cum se remediază
Urmați acești pași pentru a configura tokenurile SAS cu o perioadă de expirare de maximum o oră:
- În Azure Portal, navigați la Storage Accounts.
- Selectați contul de stocare pentru care doriți să generați un token SAS.
- Sub Security + networking, alegeți Shared access signature.
- Selectați Allowed resource types corespunzătoare în funcție de cerințele dumneavoastră.
- Setați câmpurile Start și Expiry astfel încât durata să fie de maximum o oră.
- Faceți clic pe Generate SAS and connection string pentru a crea tokenul.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Nivelul 1)
- Microsoft Azure Security Benchmark