Ensure that VHDs are Encrypted
Proč na tom záleží
Nešifrované VHD uložené v úložišti Azure Blob Storage vystavují citlivý obsah operačního systému a datových disků riziku neoprávněného přístupu v případě kompromitace účtu úložiště. Společnost Microsoft sice doporučuje pro nová nasazení spravované disky, ale starší VHD zůstávají v provozu pro mnoho kritických úloh a vyžadují explicitní šifrování, aby splnily požadavky na dodržování předpisů a bezpečnost. Pokud tyto disky nezašifrujete, může dojít k únikům dat a nedodržení norem, jako jsou CIS a EIDSCA.
Co Aether365 kontroluje
Aether365 ověřuje, že vaše účty úložiště obsahující VHD mají povoleno šifrování, a to buď pomocí klíčů spravovaných platformou (PMK), nebo klíčů spravovaných zákazníkem (CMK). Tato kontrola se zobrazuje na vašem řídicím panelu Aether365 ve skupině kontrol azure-azure-disks.
Jak to opravit
- Přejděte na Azure Portal a vyberte Storage accounts.
- Vyberte účet úložiště, který obsahuje nešifrované VHD.
- V části Security + networking vyberte Encryption.
- Povolte šifrování pomocí Platform-managed keys nebo Customer-managed keys podle úrovně vyspělosti vaší správy klíčů.
- Pokud používáte klíče spravované zákazníkem, nakonfigurujte trezor klíčů a nastavte zásady rotace klíčů.
- Použijte změnu šifrování a ověřte, že všechny objekty blob VHD jsou nyní zašifrovány.
Dodržování předpisů
- CIS Microsoft Azure Foundations 3.0.0 – Část 8.9 (úroveň 2)
- EIDSCA – Kontroly šifrování úložiště
- CISA – Základní cloudová bezpečnost pro Azure Storage