Ensure that VHDs are Encrypted
Miks see oluline on
Krüpteerimata VHD-d Azure'i bloobimälus seavad tundliku operatsioonisüsteemi ja andmeketaste sisu ohtu volitamata juurdepääsu korral, kui salvestuskonto kompromiteeritakse. Kuigi Microsoft soovitab uuteks juurutusteks hallatud kettaid, on vanemad VHD-d endiselt kasutusel paljude kriitiliste töökoormuste korral ning vajavad nõuetele vastavuse ja turvanõuete täitmiseks selgesõnalist krüpteerimist. Nende ketaste krüpteerimata jätmine võib põhjustada andmelekkeid ja mittevastavust standarditele nagu CIS ja EIDSCA.
Mida Aether365 kontrollib
Aether365 kontrollib, kas teie VHD-sid sisaldavatel salvestuskontodel on krüpteerimine lubatud, kas platvormihaldusvõtmete (PMK) või kliendihaldusvõtmete (CMK) abil. See kontroll kuvatakse teie Aether365 armatuurlaual jaotises azure-azure-disks kontrollide rühmas.
Kuidas parandada
- Minge Azure'i portaali ja valige Storage accounts.
- Valige salvestuskonto, mis sisaldab krüpteerimata VHD-sid.
- Valige jaotises Security + networking suvand Encryption.
- Lubage krüpteerimine, kasutades Platform-managed keys või Customer-managed keys, vastavalt oma võtmehalduse küpsustasemele.
- Kui kasutate kliendihaldusvõtmeid, konfigureerige võtmehoidla ja seadistage võtme rotatsioonipoliitikad.
- Rakendage krüpteerimismuudatus ja veenduge, et kõik VHD-blobid on nüüd krüpteeritud.
Vastavus
- CIS Microsoft Azure Foundations 3.0.0 – Jaotis 8.9 (Tase 2)
- EIDSCA – Salvestuskrõptimise juhtelemendid
- CISA – Pilveturbe algtase Azure Storage'i jaoks