Ensure that storage account access keys are periodically regenerated
Чому це важливо
Ключі доступу до облікового запису сховища надають повний, необмежений доступ до всіх даних у цьому обліковому записі. Якщо ключ випадково буде розкрито через неправильно налаштований застосунок або скомпрометований сервіс, зловмисник зможе читати, змінювати або видаляти об'єкти (blobs), черги, таблиці чи файли сховища. Регулярна регенерація цих ключів обмежує вікно можливого витоку та робить витікші ключі марними з часом.
Що перевіряє Aether365
Aether365 перевіряє, чи ключі доступу до облікового запису сховища регенеруються з інтервалом, що відповідає політиці безпеки вашої організації. Ця перевірка відображається в панелі Aether365 у розділі azure-storage-accounts.
Як виправити
- Увійдіть до Azure Portal та перейдіть до Storage accounts.
- Виберіть обліковий запис сховища, який потрібно оновити.
- У лівому меню в розділі Security + networking натисніть Access keys.
- Натисніть Regenerate для ключа, який потрібно замінити (key1 або key2).
- Оновіть усі клієнтські застосунки та служби, що використовують старий ключ, на новий.
- Включіть регенерацію ключів до регулярного циклу обслуговування. Microsoft рекомендує регенерувати ключі кожні 90 днів, але ви повинні дотримуватися політики вашої організації.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 4.4 (Level 2)
- Microsoft Azure Security Benchmark: PA-1, PA-2, IM-2, GS-6
Пов'язані ресурси
- Regenerate storage access keys
- PA-1: Protect and limit highly privileged users
- PA-2: Restrict administrative access to business-critical systems
- IM-2: Manage application identities securely and automatically
- GS-6: Define identity and privileged access strategy