Aether365

Български

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Български

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key

Защо това е важно

Transparent Data Encryption (TDE) защитава вашите SQL данни в покой, но когато само сертификат, управляван от услугата, защитава криптиращия ключ, вие нямате видимост и контрол върху това кой може да получи достъп до този ключ. Като използвате ключ, управляван от клиента, съхраняван в Azure Key Vault, вие налагате разделение на задълженията, получавате пълен контрол върху ротацията на ключовете и политиките за достъп, както и изпълнявате изискванията за съответствие за чувствителни или регулирани данни. Без този контрол, компрометиран ключ на ниво услуга би могъл да разкрие всички криптирани бази данни под този сървър.

Какво проверява Aether365

Aether365 проверява дали всеки Azure SQL Server използва TDE протектор, криптиран с ключ, управляван от клиента, съхраняван в Azure Key Vault, а не със сертификат, управляван от услугата. Тази проверка се показва в таблото за управление на Aether365 под секцията за проверки azure-sql-server.

Как да отстраните

  1. Отворете Azure Portal и отидете до SQL сървъра, който хоства базите данни, които искате да защитите.
  2. В лявото меню изберете Transparent data encryption.
  3. Задайте опцията TDE protector на Customer-managed key.
  4. Следвайте указанията, за да изберете съществуващ ключов трезор и ключ, или създайте нов ключов трезор и импортирайте или генерирайте ключ. Имайте предвид, че ключовият трезор трябва да е в същия Azure регион като вашия SQL сървър.
  5. Потвърдете конфигурацията и проверете дали всички бази данни под този сървър вече наследяват протектора на ключ, управляван от клиента.
  6. Настройте график за ротация на ключовете и автоматизирани инструменти за управление (като ротация на ключове в Azure Key Vault или инструментариума на вашия доставчик на ключове), за да поддържате текуща сигурност.

Съответствие

  • CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Ниво 2)
  • EIDSCA: Осигурява защитата на ключовете за криптиране на данни да е в съответствие с корпоративните стандарти за управление на ключове

Свързани ресурси

Microsoft references

Беше ли полезна тази страница?

© 2026 Aether365. All rights reserved.