Ensure that Shared Access Signature Tokens Expire Within an Hour
Чому це важливо
Токени підписів спільного доступу (SAS) надають делегований доступ до ресурсів Azure Storage без розкриття ключа облікового запису. Якщо токен SAS має надто тривалий термін дії, це підвищує ризик несанкціонованого доступу у разі витоку або перехоплення токена. Обмеження терміну дії токенів SAS до однієї години мінімізує вікно ризику та відповідає найкращим практикам безпеки щодо тимчасового делегування доступу.
Що перевіряє Aether365
Aether365 перевіряє, чи токени підписів спільного доступу налаштовані на завершення терміну дії протягом однієї години з моменту початку. Ця перевірка відображається в інформаційній панелі Aether365 у категорії azure-storage-accounts.
Як виправити
Виконайте такі кроки, щоб налаштувати токени SAS із терміном дії одна година або менше:
- В Azure Portal перейдіть до Storage Accounts.
- Виберіть обліковий запис сховища, для якого потрібно створити токен SAS.
- У розділі Security + networking виберіть Shared access signature.
- Виберіть відповідні Allowed resource types відповідно до ваших вимог.
- Встановіть поля дати та часу Start та Expiry так, щоб тривалість була в межах однієї години.
- Натисніть Generate SAS and connection string, щоб створити токен.
Відповідність вимогам
- CIS Microsoft Azure Foundations 3.0.0 (4.5, Level 1)
- Microsoft Azure Security Benchmark