Validate SSH Key Expiration.

Чому це важливо

Ключі SSH надають постійний доступ до ресурсів Azure DevOps. Якщо ключі не мають дати завершення терміну дії або залишаються дійсними безстроково, скомпрометований або забутий ключ може бути використаний зловмисниками для отримання несанкціонованого доступу, зміни коду або викрадення конфіденційних даних. Примусове встановлення терміну дії гарантує регулярну ротацію ключів, що зменшує вікно ризику для кожного окремого облікового даного.

Що перевіряє Aether365

Aether365 перевіряє, чи всі ключі SSH, пов'язані з організаціями Azure DevOps, мають налаштовану дату завершення терміну дії. Ця перевірка відображається в інформаційній панелі Aether365 у списку перевірок безпеки microsoft-365.

Як виправити

Наразі Azure DevOps не надає вбудованого налаштування для примусового завершення терміну дії ключів SSH для всіх користувачів. Щоб вручну керувати терміном дії ключів SSH:

1. Перейдіть до вашої організації Azure DevOps.
2. Виберіть "User settings", а потім "SSH public keys".
3. Для кожного перерахованого ключа перегляньте стовпець "Expires". Якщо ключ не має дати завершення терміну дії, зв'яжіться з користувачем і попросіть його повторно створити ключ із конкретною датою завершення терміну дії.
4. Щоб встановити термін дії під час додавання нового ключа, використовуйте CLI Azure DevOps або REST API. Наприклад, використовуючи CLI:

   az devops user add --email user@domain.com --license stakeholder --public-key @keyfile.pub --expiration 2025-12-31

5. Для масового керування розгляньте можливість використання скрипта PowerShell, який викликає REST API Azure DevOps для виведення списку та оновлення дат завершення терміну дії ключів.

Відповідність вимогам

• Структура: Інші (не відповідає безпосередньо вимогам CIS, EIDSCA або CISA)

Пов'язані ресурси

• Manage SSH keys in Azure DevOps
• Azure DevOps CLI reference