Ensure that storage account access keys are periodically regenerated
Bunun Önemi
Depolama hesabı erişim anahtarları, hesap içindeki tüm verilere tam ve kısıtlanmamış erişim sağlar. Yanlış yapılandırılmış bir uygulama veya güvenliği ihlal edilmiş bir hizmet aracılığıyla bir anahtarın yanlışlıkla ifşa olması durumunda, bir saldırgan depolama bloblarını, kuyruklarını, tablolarını veya dosyalarını okuyabilir, değiştirebilir veya silebilir. Bu anahtarları düzenli aralıklarla yeniden oluşturmak, maruz kalma süresini sınırlar ve sızdırılmış anahtarların zamanla kullanılamaz hale gelmesini sağlar.
Aether365 Neyi Kontrol Eder
Aether365, depolama hesabı erişim anahtarlarının kuruluşunuzun güvenlik politikasına uygun bir aralıkta yeniden oluşturulup oluşturulmadığını doğrular. Bu kontrol, Aether365 panosunda azure-storage-accounts bölümü altında görünür.
Nasıl Düzeltilir
- Azure portal'da oturum açın ve Storage accounts bölümüne gidin.
- Güncellemek istediğiniz depolama hesabını seçin.
- Sol menüde, Security + networking altında Access keys seçeneğine tıklayın.
- Döndürmek istediğiniz anahtar (key1 veya key2) için Regenerate seçeneğine tıklayın.
- Eski anahtarı kullanan tüm istemci uygulamalarını ve hizmetlerini yeni anahtarla güncelleyin.
- Düzenli bakım döngünüzün bir parçası olarak anahtar yeniden oluşturmayı planlayın. Microsoft, anahtarların her 90 günde bir yeniden oluşturulmasını önerir, ancak kuruluşunuzun politikasını izlemelisiniz.
Uyumluluk
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Seviye 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
İlgili Kaynaklar
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy