Ensure that storage account access keys are periodically regenerated
Prečo je to dôležité
Prístupové kľúče k účtom úložiska poskytujú úplný a neobmedzený prístup ku všetkým údajom v rámci účtu. Ak dôjde k neúmyselnému odhaleniu kľúča prostredníctvom nesprávne nakonfigurovanej aplikácie alebo kompromitovanej služby, útočník môže čítať, upravovať alebo mazať blobové úložiská, fronty, tabuľky alebo súbory. Pravidelná regenerácia týchto kľúčov obmedzuje časové okno vystavenia riziku a zabezpečuje, že akékoľvek uniknuté kľúče sa časom stanú nepoužiteľnými.
Čo kontroluje Aether365
Aether365 overuje, či sú prístupové kľúče k účtom úložiska regenerované v intervale, ktorý je v súlade s bezpečnostnou politikou vašej organizácie. Táto kontrola sa zobrazuje v dashboarde Aether365 v sekcii azure-storage-accounts.
Ako to opraviť
- Prihláste sa do Azure Portal a prejdite na Storage accounts.
- Vyberte účet úložiska, ktorý chcete aktualizovať.
- V ľavom menu v časti Security + networking kliknite na Access keys.
- Kliknite na Regenerate pre kľúč, ktorý chcete otočiť (buď key1 alebo key2).
- Aktualizujte všetky klientske aplikácie a služby, ktoré používajú starý kľúč, novým kľúčom.
- Naplánujte regeneráciu kľúčov ako súčasť vášho bežného udržiavacieho cyklu. Spoločnosť Microsoft odporúča regenerovať kľúče každých 90 dní, mali by ste však dodržiavať politiku vašej organizácie.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Súvisiace zdroje
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy