Ensure storage for critical data are encrypted with Customer Managed Key

Proč je to důležité

Azure Storage standardně automaticky šifruje všechna data v klidovém stavu pomocí klíčů spravovaných Microsoftem. Organizace, které pracují s citlivými nebo regulovanými daty, však často vyžadují detailní kontrolu nad šifrovacími klíči, aby splnily požadavky na shodu s předpisy nebo interní bezpečnostní zásady. Použití zákaznických klíčů (CMK) vám poskytuje plnou kontrolu nad životním cyklem klíčů, přístupem a rotací, čímž snižuje riziko neoprávněného přístupu k datům v případě kompromitace správy klíčů ze strany Microsoftu.

Co Aether365 kontroluje

Aether365 ověřuje, zda má každý účet Azure Storage používaný pro kritická data nakonfigurováno šifrování pomocí zákaznického klíče namísto výchozího klíče spravovaného Microsoftem. Tato kontrola se zobrazí na vašem dashboardu Aether365 v kategorii azure-storage-accounts.

Jak to opravit

1. Přihlaste se na Azure Portal a přejděte k položce Storage Accounts.
2. Vyberte každý účet úložiště, který vyžaduje šifrování pomocí zákaznického klíče.
3. V levé nabídce přejděte do části Encryption v rámci Security + networking.
4. U položky Encryption type zvolte Customer-managed keys.
5. Vyberte nebo vytvořte klíč v Azure Key Vault, poté nakonfigurujte URI klíče a volitelně nastavte automatickou rotaci verzí klíče.
6. Kliknutím na Save použijete konfiguraci.

Shoda s předpisy

• CIS Microsoft Azure Foundations 3.0.0: Sekce 4.11 (Úroveň 2)
• Microsoft Security Benchmark: Ochrana dat, kontrola DP-1
• EIDSCA (je-li relevantní): Zajistěte kontrolu šifrovacích klíčů pro účty úložiště

Související zdroje

• Azure Storage encryption for data at rest
• Azure data encryption best practices
• Azure Storage encryption versus disk encryption
• Data protection controls in Azure

Microsoft references

• Storage service encryption
• Data encryption best practices
• Storage service encryption
• Security controls v2 data protection