Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Por que es Importante
Cifrar los registros de actividad con claves administradas por el cliente le otorga control directo sobre las claves de cifrado para cumplimiento y seguridad. Sin CMK, Microsoft administra las claves por defecto, lo que limita su capacidad de aplicar politicas personalizadas de proteccion de datos o revocar el acceso si ocurre una violacion. Esta verificacion asegura que usted tenga autoridad exclusiva sobre el cifrado de su registro de auditoria, reduciendo el riesgo de exposicion a claves de terceros.
Que Verifica Aether365
Aether365 verifica que la cuenta de almacenamiento utilizada para la exportacion del registro de actividad este cifrada con una clave administrada por el cliente en lugar de la clave predeterminada administrada por Microsoft. Esta verificacion aparece en su panel bajo las comprobaciones de azure-diagnostic-settings, identificando configuraciones incorrectas que dejan los datos criticos del registro menos protegidos.
Como Solucionarlo
- Abra Azure Portal y vaya a Monitor.
- Seleccione Activity log, luego elija Export Activity Logs.
- Seleccione la suscripcion que desea configurar y anote el nombre de la cuenta de almacenamiento utilizada para su configuracion de diagnostico.
- Navegue a Storage accounts, haga clic en la cuenta de almacenamiento anotada.
- En Security + networking, seleccione Encryption.
- Para Encryption type, elija Customer-managed keys.
- Siga los pasos en pantalla para configurar la clave desde su Key Vault, incluyendo seleccionar la clave y establecer sus permisos.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0: Seccion 6.1.3 (Nivel 2)
- EIDSCA: Proteccion de datos de Azure Storage
Recursos Relacionados
- Microsoft Learn: Use customer-managed key option in data-at-rest encryption
- Microsoft Learn: Activity log export and legacy log profiles