Ensure that VHDs are Encrypted
Hvorfor dette er vigtigt
Ukrypterede VHD'er gemt i Azure blob storage udsætter følsomme OS- og data-diskindhold for potentiel uautoriseret adgang, hvis storage-kontoen bliver kompromitteret. Microsoft anbefaler managed disks til nye installationer, men ældre VHD'er er stadig i brug til mange kritiske arbejdsbelastninger og kræver eksplicit kryptering for at opfylde compliance- og sikkerhedskrav. Hvis du ikke krypterer disse diske, kan det føre til datalækage og manglende overholdelse af standarder som CIS og EIDSCA.
Hvad Aether365 kontrollerer
Aether365 verificerer, at dine storage-konti, der indeholder VHD'er, har kryptering aktiveret, enten med platform-managed keys (PMK) eller customer-managed keys (CMK). Denne kontrol vises i dit Aether365-dashboard under kontrolgruppen azure-azure-disks.
Sådan rettes
- Gå til Azure Portal, og vælg Storage accounts.
- Vælg den storage-konto, der indeholder ukrypterede VHD'er.
- Under Security + networking vælges Encryption.
- Aktivér kryptering ved hjælp af Platform-managed keys eller Customer-managed keys, alt efter hvad der passer til din nøgleadministration.
- Hvis du bruger customer-managed keys, skal du konfigurere et key vault og oprette politikker for nøglerotation.
- Anvend krypteringsændringen, og bekræft, at alle VHD-blobs nu er krypteret.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 – Afsnit 8.9 (Niveau 2)
- EIDSCA – Krypteringskontroller for storage
- CISA – Cloud-sikkerhedsbaseline for Azure Storage