Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Miks see on oluline
Läbipaistev andmekrüptimine (TDE) kaitseb teie SQL-andmeid puhkeolekus, kuid kui krüptimisvõtit kaitseb ainult teenusehaldatud sertifikaat, puudub teil nähtavus ja kontroll selle üle, kes pääseb sellele võtmele ligi. Kasutades kliendi haldatud võtit, mis on salvestatud Azure Key Vault'i, kehtestate kohustuste jaotuse, saavutate täieliku kontrolli võtme vahetamise ja juurdepääsupoliitikate üle ning täidate tundlike või reguleeritud andmete vastavusnõudeid. Ilma selle kontrollita võiks ohustatud teenusetaseme võti paljastada kõik selle serveri all olevad krüptitud andmebaasid.
Mida Aether365 kontrollib
Aether365 kontrollib, kas igal Azure SQL Server'il on TDE kaitsevahend krüptitud kliendi haldatud võtmega, mis on salvestatud Azure Key Vault'i, mitte teenusehaldatud sertifikaadiga. See kontroll kuvatakse teie Aether365 armatuurlaual jaotises azure-sql-server kontrollid.
Kuidas parandada
- Avage Azure Portal ja minge SQL-serveri juurde, mis hostib andmebaase, mida soovite kaitsta.
- Vasakpoolsest menüüst valige Transparent data encryption.
- Määrake TDE protector suvandiks Customer-managed key.
- Järgige viipasid, et valida olemasolev võtmehoidla ja võti või luua uus võtmehoidla ning importida või luua võti. Pange tähele, et võtmehoidla peab asuma samas Azure'i piirkonnas kui teie SQL-server.
- Kinnitage konfiguratsioon ja veenduge, et kõik selle serveri all olevad andmebaasid päriksid nüüd kliendi haldatud võtme kaitsevahendi.
- Seadistage võtme vahetamise ajakava ja automatiseeritud haldustööriistad (nt Azure Key Vault võtme vahetamine või teie võtme pakkuja tööriistakomplekt), et tagada pidev turvalisus.
Vastavus
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Level 2)
- EIDSCA: Tagab andmete krüptimisvõtme kaitse vastavuse ettevõtte võtmehaldustandarditele