Ensure that Shared Access Signature Tokens Expire Within an Hour
Varför detta är viktigt
Signaturer för delad åtkomst (SAS-token) ger delegerad åtkomst till Azure Storage-resurser utan att exponera kontonyckeln. Om en SAS-token har en alltför lång giltighetstid ökar det risken för obehörig åtkomst om token läcker ut eller fångas upp. Genom att begränsa SAS-token till att upphöra inom en timme minimeras exponeringsfönstret och detta överensstämmer med säkerhetsbästa praxis för tillfällig åtkomstdelegering.
Vad Aether365 kontrollerar
Aether365 verifierar att signaturer för delad åtkomst är konfigurerade att upphöra inom en timme från starttiden. Denna kontroll visas i Aether365-instrumentpanelen under kategorin azure-storage-accounts.
Så här åtgärdar du
Följ dessa steg för att konfigurera SAS-token med en giltighetstid på en timme eller kortare:
- I Azure Portal, navigera till Storage Accounts.
- Välj det lagringskonto som du behöver generera en SAS-token för.
- Under Security + networking, välj Shared access signature.
- Välj lämpliga Allowed resource types baserat på dina krav.
- Ställ in fälten Start och Expiry för datum och tid så att varaktigheten är inom en timme.
- Klicka på Generate SAS and connection string för att skapa token.
Efterlevnad
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Nivå 1)
- Microsoft Azure Security Benchmark