Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Proč na tom záleží
Transparentní šifrování dat (TDE) chrání vaše SQL data v klidovém stavu, ale pokud je šifrovací klíč chráněn pouze certifikátem spravovaným službou, ztrácíte přehled a kontrolu nad tím, kdo může k tomuto klíči přistupovat. Použitím klíče spravovaného zákazníkem uloženého v Azure Key Vault prosazujete oddělení rolí, získáváte plnou kontrolu nad rotací klíčů a přístupovými pravidly a splňujete požadavky na shodu pro citlivá nebo regulovaná data. Bez této kontroly by ohrožený klíč na úrovni služby mohl odhalit všechny šifrované databáze na tomto serveru.
Co Aether365 kontroluje
Aether365 ověřuje, že každý Azure SQL Server má svůj TDE ochránce zašifrován klíčem spravovaným zákazníkem uloženým v Azure Key Vault, nikoliv certifikátem spravovaným službou. Tato kontrola se zobrazí ve vašem dashboardu Aether365 v sekci kontrol azure-sql-server.
Jak to opravit
- Otevřete Azure Portal a přejděte na SQL server, který hostuje databáze, jež chcete chránit.
- V levé nabídce vyberte Transparent data encryption.
- Nastavte možnost TDE protector na Customer-managed key.
- Postupujte podle pokynů pro výběr existujícího trezoru klíčů a klíče, nebo vytvořte nový trezor klíčů a importujte či vygenerujte klíč. Upozorňujeme, že trezor klíčů musí být ve stejné oblasti Azure jako váš SQL server.
- Potvrďte konfiguraci a ověřte, že všechny databáze na tomto serveru nyní dědí ochránce klíčem spravovaným zákazníkem.
- Nastavte plán rotace klíčů a automatizované nástroje pro správu (například Azure Key Vault key rotation nebo nástroje vašeho poskytovatele klíčů) pro zachování průběžné bezpečnosti.
Shoda s předpisy
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Level 2)
- EIDSCA: Zajišťuje, že ochrana šifrovacího klíče dat odpovídá podnikovým standardům pro správu klíčů