Ensure storage for critical data are encrypted with Customer Managed Key
Защо Това Е Важно
Azure Storage автоматично криптира всички данни в покой, използвайки ключове, управлявани от Microsoft по подразбиране. Въпреки това, организациите, които обработват чувствителни или регулирани данни, често се нуждаят от прецизен контрол върху ключовете за криптиране, за да отговорят на регулаторни изисквания или вътрешни политики за сигурност. Използването на ключове, управлявани от клиента (CMK), ви дава пълна власт върху жизнения цикъл на ключовете, достъпа до тях и ротацията им, което намалява риска от неоторизиран достъп до данни, ако управлението на ключове от Microsoft бъде компрометирано.
Какво Проверява Aether365
Aether365 проверява дали всеки Azure Storage акаунт, използван за критични данни, е конфигуриран с криптиране чрез ключ, управляван от клиента, вместо чрез ключа по подразбиране, управляван от Microsoft. Тази проверка се появява във вашия табло на Aether365 под категорията azure-storage-accounts.
Как Да Отстраните Проблема
- Влезте в Azure Portal и отидете на Storage Accounts.
- Изберете всеки Storage Account, който изисква криптиране с ключове, управлявани от клиента.
- В лявото меню отидете на Encryption под Security + networking.
- За Encryption type изберете Customer-managed keys.
- Изберете или създайте ключ за Azure Key Vault, след което конфигурирайте URI на ключа и по желание задайте автоматична ротация на версията на ключа.
- Натиснете Save, за да приложите конфигурацията.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0: Раздел 4.11 (Ниво 2)
- Microsoft Security Benchmark: Контрол за защита на данни DP-1
- EIDSCA (ако е приложимо): Осигуряване на контрол върху ключовете за криптиране за Storage Accounts
Свързани Ресурси
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure