Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Hvorfor dette er vigtigt
Transparent Data Encryption (TDE) beskytter dine SQL-data i hvile, men når kun et serviceadministreret certifikat beskytter krypteringsnøglen, mangler du indsigt i og kontrol over, hvem der kan få adgang til denne nøgle. Ved at bruge en kundeadministreret nøgle gemt i Azure Key Vault håndhæver du opgavedeling, får fuld kontrol over nøglerotation og adgangspolitikker, og opfylder overholdelseskrav for følsomme eller regulerede data. Uden denne kontrol kan en kompromitteret serviceniveau-nøgle eksponere alle krypterede databaser under den pågældende server.
Hvad Aether365 kontrollerer
Aether365 verificerer, at hver Azure SQL Server har sin TDE-beskytter krypteret med en kundeadministreret nøgle gemt i Azure Key Vault, og ikke med et serviceadministreret certifikat. Denne kontrol vises i dit Aether365-dashboard under sektionen azure-sql-server-kontroller.
Sådan rettes det
- Åbn Azure Portal, og naviger til den SQL-server, der hoster de databaser, du vil beskytte.
- Vælg Transparent data encryption i venstremenuen.
- Angiv indstillingen TDE protector til Customer-managed key.
- Følg vejledningen for at vælge en eksisterende key vault og nøgle, eller opret en ny key vault og importer eller generer en nøgle. Bemærk, at key vault skal være i samme Azure-region som din SQL-server.
- Bekræft konfigurationen, og verificer, at alle databaser under den pågældende server nu arver den kundeadministrerede nøglebeskytter.
- Opsæt en plan for nøglerotation og automatisk administrationsværktøj (såsom Azure Key Vault-nøglerotation eller din nøgleudbyders værktøjssæt) for at opretholde løbende sikkerhed.
Overholdelse
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Niveau 2)
- EIDSCA: Sikrer, at datakrypteringsnøglebeskyttelse er i overensstemmelse med virksomhedens nøglestyringsstandarder