Ensure that Shared Access Signature Tokens Expire Within an Hour
Prečo je to dôležité
Tokeny s podpisom zdieľaného prístupu (SAS) udeľujú delegovaný prístup k prostriedkom služby Azure Storage bez toho, aby odhalili kľúč účtu. Ak má SAS token príliš dlhú dobu platnosti, zvyšuje sa riziko neoprávneného prístupu v prípade úniku alebo zachytenia tokenu. Obmedzenie platnosti SAS tokenov na jednu hodinu minimalizuje okno expozície a je v súlade s osvedčenými bezpečnostnými postupmi pri dočasnom delegovaní prístupu.
Čo kontroluje Aether365
Aether365 overuje, či sú tokeny s podpisom zdieľaného prístupu nakonfigurované tak, aby vypršali do jednej hodiny od svojho času začiatku. Táto kontrola sa nachádza na paneli Aether365 v kategórii azure-storage-accounts.
Ako to opraviť
Postupujte podľa týchto krokov na konfiguráciu SAS tokenov s dobou platnosti jednej hodiny alebo kratšou:
- V Azure Portal prejdite na Storage Accounts.
- Vyberte účet úložiska, pre ktorý potrebujete vygenerovať SAS token.
- V časti Security + networking vyberte Shared access signature.
- Vyberte príslušné Allowed resource types podľa vašich požiadaviek.
- Nastavte polia Start a Expiry s dátumom a časom tak, aby trvanie bolo v rámci jednej hodiny.
- Kliknutím na Generate SAS and connection string vytvorte token.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
- Microsoft Azure Security Benchmark