Ensure that storage account access keys are periodically regenerated
De ce conteaza
Cheile de acces ale contului de stocare ofera acces complet si nerestrictionat la toate datele din cont. Daca o cheie este expusa accidental printr-o aplicatie configurata gresit sau printr-un serviciu compromis, un atacator poate citi, modifica sau sterge blob-uri de stocare, cozi, tabele sau fisiere. Regenerarea acestor chei la un interval regulat limiteaza fereastra de expunere si face ca orice chei scurse sa devina inutile in timp.
Ce verifica Aether365
Aether365 verifica daca cheile de acces ale conturilor de stocare sunt regenerate la un interval aliniat cu politica de securitate a organizatiei dvs. Aceasta verificare apare in tabloul de bord Aether365 sub sectiunea azure-storage-accounts.
Cum se remediaza
- Conectati-va la portalul Azure si navigati la Storage accounts.
- Selectati contul de stocare pe care doriti sa-l actualizati.
- In meniul din stanga, sub Security + networking, faceti clic pe Access keys.
- Faceti clic pe Regenerate pentru cheia pe care doriti sa o rotiti (key1 sau key2).
- Actualizati toate aplicatiile client si serviciile care utilizeaza cheia veche cu noua cheie.
- Planificati regenerarea cheilor ca parte a ciclului dvs. regulat de intretinere. Microsoft recomanda regenerarea cheilor la fiecare 90 de zile, dar ar trebui sa urmati politica organizatiei dvs.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Nivelul 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Resurse conexe
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy