Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key

Por Que Es Importante

Transparent Data Encryption (TDE) protege los datos de SQL en reposo, pero cuando solo un certificado administrado por el servicio protege la clave de cifrado, carece de visibilidad y control sobre quien puede acceder a dicha clave. Al utilizar una clave administrada por el cliente almacenada en Azure Key Vault, impone la separacion de funciones, obtiene control total sobre la rotacion de claves y las politicas de acceso, y cumple con los requisitos de cumplimiento para datos sensibles o regulados. Sin este control, una clave comprometida a nivel de servicio podria exponer todas las bases de datos cifradas bajo ese servidor.

Que Verifica Aether365

Aether365 verifica que cada Azure SQL Server tenga su protector TDE cifrado con una clave administrada por el cliente almacenada en Azure Key Vault, no con un certificado administrado por el servicio. Esta verificacion aparece en su panel de Aether365 bajo la seccion de verificaciones azure-sql-server.

Como Solucionarlo

  1. Abra Azure Portal y navegue hasta el servidor SQL que aloja las bases de datos que desea proteger.
  2. En el menu izquierdo, seleccione Transparent data encryption.
  3. Establezca la opcion TDE protector en Customer-managed key.
  4. Siga las indicaciones para seleccionar un almacen de claves y una clave existentes, o cree un nuevo almacen de claves e importe o genere una clave. Tenga en cuenta que el almacen de claves debe estar en la misma region de Azure que su servidor SQL.
  5. Confirme la configuracion y verifique que todas las bases de datos bajo ese servidor ahora heredan el protector de clave administrada por el cliente.
  6. Configure un programa de rotacion de claves y herramientas de gestion automatizadas (como la rotacion de claves de Azure Key Vault o el conjunto de herramientas de su proveedor de claves) para mantener la seguridad continua.

Cumplimiento Normativo

  • CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Nivel 2)
  • EIDSCA: Garantiza que la proteccion de la clave de cifrado de datos se alinee con los estandares empresariales de gestion de claves

Recursos Relacionados

Microsoft references

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.