Ensure that VHDs are Encrypted
Por qué es importante
Los discos duros virtuales (VHD) sin cifrar almacenados en Azure Blob Storage exponen el contenido confidencial del sistema operativo y los discos de datos a posibles accesos no autorizados si la cuenta de almacenamiento se ve comprometida. Aunque Microsoft recomienda usar Managed Disks para nuevas implementaciones, los VHD heredados siguen utilizándose en muchas cargas de trabajo críticas y requieren un cifrado explícito para cumplir con los requisitos de seguridad y normativas. No cifrar estos discos puede provocar filtraciones de datos e incumplimiento de estándares como CIS y EIDSCA.
Qué comprueba Aether365
Aether365 verifica que las cuentas de almacenamiento que contienen VHD tengan el cifrado habilitado, ya sea con claves administradas por la plataforma (PMK) o claves administradas por el cliente (CMK). Esta comprobación aparece en el panel de control de Aether365 bajo el grupo de comprobaciones azure-azure-disks.
Cómo solucionarlo
- Vaya a Azure Portal y seleccione Storage accounts.
- Elija la cuenta de almacenamiento que contiene los VHD sin cifrar.
- En Security + networking, seleccione Encryption.
- Habilite el cifrado usando Platform-managed keys o Customer-managed keys según corresponda para su nivel de madurez en la gestión de claves.
- Si usa claves administradas por el cliente, configure un Key Vault y establezca políticas de rotación de claves.
- Aplique el cambio de cifrado y verifique que todos los blobs de VHD estén ahora cifrados.
Cumplimiento normativo
- CIS Microsoft Azure Foundations 3.0.0 – Sección 8.9 (Nivel 2)
- EIDSCA – Controles de cifrado de almacenamiento
- CISA – Línea base de seguridad en la nube para Azure Storage