Ensure that VHDs are Encrypted
Защо това е важно
Нешифрованите VHD дискове, съхранявани в Azure blob storage, излагат чувствителното съдържание на операционната система и данните на потенциален неоторизиран достъп, ако storage акаунтът бъде компрометиран. Въпреки че Microsoft препоръчва managed disks за нови разгръщания, legacy VHD дисковете продължават да се използват за много критични работни натоварвания и изискват изрично шифроване, за да отговарят на изискванията за съответствие и сигурност. Неуспешното шифроване на тези дискове може да доведе до изтичане на данни и несъответствие със стандарти като CIS и EIDSCA.
Какво проверява Aether365
Aether365 проверява дали вашите storage акаунти, съдържащи VHD дискове, са с активирано шифроване, използвайки или платформени ключове (PMK), или ключове, управлявани от клиента (CMK). Тази проверка се появява във вашия Aether365 табло под групата проверки azure-azure-disks.
Как да отстраните проблема
- Отидете на Azure Portal и изберете Storage accounts.
- Изберете storage акаунта, който съдържа нешифровани VHD дискове.
- Под Security + networking изберете Encryption.
- Активирайте шифроване, като използвате Platform-managed keys или Customer-managed keys, според степента на зрялост на управлението на ключовете.
- Ако използвате ключове, управлявани от клиента, конфигурирайте key vault и настройте политики за ротация на ключовете.
- Приложете промяната за шифроване и проверете дали всички VHD blob обекти вече са шифровани.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 – Раздел 8.9 (Ниво 2)
- EIDSCA – Контроли за шифроване на storage
- CISA – Базово ниво на облачна сигурност за Azure Storage