Ensure that storage account access keys are periodically regenerated
Varför detta är viktigt
Lagringskontots åtkomstnycklar ger fullständig, obegränsad åtkomst till all data inom kontot. Om en nyckel oavsiktligt exponeras via en felkonfigurerad applikation eller en komprometterad tjänst kan en angripare läsa, ändra eller ta bort lagringsblober, köer, tabeller eller filer. Genom att återskapa dessa nycklar enligt ett regelbundet schema begränsas exponeringsfönstret, och eventuella läckta nycklar blir med tiden oanvändbara.
Vad Aether365 kontrollerar
Aether365 verifierar att lagringskontots åtkomstnycklar återskapas med ett intervall som överensstämmer med organisationens säkerhetspolicy. Denna kontroll visas i Aether365-instrumentpanelen under avsnittet azure-storage-accounts.
Åtgärd
- Logga in på Azure Portal och navigera till Storage accounts.
- Välj det lagringskonto du vill uppdatera.
- I den vänstra menyn, under Security + networking, klicka på Access keys.
- Klicka på Regenerate för den nyckel du vill byta ut (antingen key1 eller key2).
- Uppdatera alla klientapplikationer och tjänster som använder den gamla nyckeln med den nya nyckeln.
- Schemalägg nyckelåterskapning som en del av din regelbundna underhållscykel. Microsoft rekommenderar att nycklar återskapas var 90:e dag, men du bör följa din organisations policy.
Efterlevnad
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Relaterade resurser
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy