Ensure storage for critical data are encrypted with Customer Managed Key
Por Que Esto Es Importante
Azure Storage cifra automáticamente todos los datos en reposo mediante claves administradas por Microsoft de forma predeterminada. Sin embargo, las organizaciones que manejan datos sensibles o regulados a menudo requieren un control granular sobre las claves de cifrado para cumplir con mandatos normativos o políticas de seguridad internas. El uso de claves administradas por el cliente (CMK) le otorga autoridad total sobre el ciclo de vida, acceso y rotación de claves, reduciendo el riesgo de acceso no autorizado a los datos si la gestión de claves de Microsoft se ve comprometida.
Que Verifica Aether365
Aether365 verifica si cada cuenta de Azure Storage utilizada para datos críticos tiene el cifrado configurado con una clave administrada por el cliente en lugar de la clave administrada por Microsoft predeterminada. Esta verificación aparece en su panel de Aether365 bajo la categoría azure-storage-accounts.
Como Solucionarlo
- Inicie sesión en Azure Portal y navegue hasta Storage Accounts.
- Seleccione cada cuenta de almacenamiento que requiera cifrado con clave administrada por el cliente.
- En el menú izquierdo, vaya a Encryption bajo Security + networking.
- Para Encryption type, elija Customer-managed keys.
- Seleccione o cree una clave de Azure Key Vault, luego configure el URI de la clave y opcionalmente active la rotación automática de versiones de clave.
- Haga clic en Save para aplicar la configuración.
Cumplimiento Normativo
- CIS Microsoft Azure Foundations 3.0.0: Sección 4.11 (Nivel 2)
- Microsoft Security Benchmark: Control de protección de datos DP-1
- EIDSCA (si corresponde): Asegurar el control de claves de cifrado para cuentas de almacenamiento
Recursos Relacionados
- Cifrado de Azure Storage para datos en reposo
- Mejores practicas de cifrado de datos en Azure
- Cifrado de Azure Storage versus cifrado de disco
- Controles de proteccion de datos en Azure