Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Защо това е важно
Криптирането на журналите с дейности чрез клиентски управлявани ключове (CMK) ви дава пряк контрол върху ключовете за криптиране за целите на съответствието и сигурността. Без CMK, Microsoft управлява ключовете по подразбиране, което ограничава способността ви да прилагате персонализирани политики за защита на данните или да отмените достъпа при пробив. Тази проверка гарантира, че имате изключителна власт над криптирането на вашия одитен журнал, намалявайки риска от излагане на ключове от трети страни.
Какво проверява Aether365
Aether365 проверява дали хранилището, използвано за експортиране на журнала с дейности, е криптирано с клиентски управляван ключ, вместо с ключа по подразбиране на Microsoft. Тази проверка се появява във вашето табло под проверките azure-diagnostic-settings, идентифицирайки неправилни конфигурации, които оставят критичните регистрационни данни по-слабо защитени.
Как да коригирате
- Отворете Azure Portal и отидете на Monitor.
- Изберете Activity log, след което Export Activity Logs.
- Изберете абонамента, който искате да конфигурирате, и отбележете името на хранилището, използвано за неговата диагностична настройка.
- Отидете на Storage accounts и кликнете върху отбелязаното хранилище.
- Под Security + networking изберете Encryption.
- За Encryption type изберете Customer-managed keys.
- Следвайте стъпките на екрана, за да конфигурирате ключа от вашето Key Vault, включително избор на ключа и задаване на неговите разрешения.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0: Раздел 6.1.3 (Ниво 2)
- EIDSCA: Защита на данните в Azure Storage
Свързани ресурси
- Microsoft Learn: Използване на опцията за клиентски управляван ключ при криптиране на данни в покой
- Microsoft Learn: Експортиране на журнал с дейности и наследени профили на журнали