Ensure that VHDs are Encrypted
Warum dies wichtig ist
Unverschlüsselte VHDs, die im Azure-Blobspeicher gespeichert sind, legen sensible Betriebssystem- und Datenträgerinhalte offen, die bei einer Kompromittierung des Speicherkontos unbefugten Zugriff ermöglichen. Obwohl Microsoft für neue Bereitstellungen verwaltete Datenträger empfiehlt, werden ältere VHDs weiterhin für viele geschäftskritische Workloads verwendet und erfordern eine explizite Verschlüsselung, um Compliance- und Sicherheitsanforderungen zu erfüllen. Werden diese Datenträger nicht verschlüsselt, kann dies zu Datenverletzungen und Nichteinhaltung von Standards wie CIS und EIDSCA führen.
Was Aether365 prüft
Aether365 überprüft, ob Ihre Speicherkonten mit VHDs die Verschlüsselung aktiviert haben, entweder mit plattformverwalteten Schlüsseln (PMK) oder kundenverwalteten Schlüsseln (CMK). Diese Prüfung wird in Ihrem Aether365-Dashboard unter der Prüfgruppe azure-azure-disks angezeigt.
Behebung
- Navigieren Sie zum Azure Portal und wählen Sie Storage accounts aus.
- Wählen Sie das Speicherkonto aus, das unverschlüsselte VHDs enthält.
- Wählen Sie unter Security + networking die Option Encryption aus.
- Aktivieren Sie die Verschlüsselung mit Platform-managed keys oder Customer-managed keys, je nach Reifegrad Ihrer Schlüsselverwaltung.
- Konfigurieren Sie bei Verwendung kundenverwalteter Schlüssel einen Schlüsseltresor und richten Sie Richtlinien für die Schlüsselrotation ein.
- Wenden Sie die Verschlüsselungsänderung an und überprüfen Sie, ob alle VHD-Blobs nun verschlüsselt sind.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 – Abschnitt 8.9 (Stufe 2)
- EIDSCA – Speicherverschlüsselungskontrollen
- CISA – Cloud-Sicherheitsbaseline für Azure Storage