Ensure that VHDs are Encrypted
Γιατί Είναι Σημαντικό
Ανεπεξέργαστα VHDs που αποθηκεύονται σε Azure blob storage εκθέτουν ευαίσθητα περιεχόμενα λειτουργικού συστήματος και δίσκων δεδομένων σε πιθανή μη εξουσιοδοτημένη πρόσβαση σε περίπτωση παραβίασης του λογαριασμού αποθήκευσης. Παρότι η Microsoft προτείνει managed disks για νέες αναπτύξεις, παλαιότερα VHDs εξακολουθούν να χρησιμοποιούνται σε πολλές κρίσιμες φόρτους εργασίας και απαιτούν ρητή κρυπτογράφηση για να πληρούν απαιτήσεις συμμόρφωσης και ασφάλειας. Η παράλειψη κρυπτογράφησης αυτών των δίσκων μπορεί να οδηγήσει σε παραβιάσεις δεδομένων και μη συμμόρφωση με πρότυπα όπως CIS και EIDSCA.
Τι Ελέγχει το Aether365
Το Aether365 επαληθεύει ότι οι λογαριασμοί αποθήκευσης που περιέχουν VHDs έχουν ενεργοποιημένη κρυπτογράφηση, είτε με κλειδία διαχειριζόμενα από την πλατφόρμα (PMK) είτε με κλειδία διαχειριζόμενα από τον πελάτη (CMK). Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 κάτω από την ομάδα ελέγχων azure-azure-disks.
Τρόπος Επίλυσης
- Μεταβείτε στο Azure Portal και επιλέξτε Storage accounts.
- Επιλέξτε τον λογαριασμό αποθήκευσης που περιέχει μη κρυπτογραφημένα VHDs.
- Κάτω από την ενότητα Security + networking, επιλέξτε Encryption.
- Ενεργοποιήστε την κρυπτογράφηση χρησιμοποιώντας Platform-managed keys ή Customer-managed keys ανάλογα με την ωριμότητα διαχείρισης κλειδιών σας.
- Αν χρησιμοποιείτε customer-managed keys, ρυθμίστε ένα key vault και ορίστε πολιτικές εναλλαγής κλειδιών.
- Εφαρμόστε την αλλαγή κρυπτογράφησης και επιβεβαιώστε ότι όλα τα VHD blobs είναι πλέον κρυπτογραφημένα.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0 – Ενότητα 8.9 (Επίπεδο 2)
- EIDSCA – Έλεγχοι κρυπτογράφησης αποθήκευσης
- CISA – Γραμμή βάσης ασφάλειας cloud για Azure Storage