Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Miksi tämä on tärkeää
Toimintolokien salaaminen Customer Managed Keys (CMK) -menetelmällä antaa sinulle suoran hallinnan salausavaimista vaatimustenmukaisuutta ja tietoturvaa varten. Ilman CMK:ta Microsoft hallinnoi avaimia oletusarvoisesti, mikä rajoittaa mahdollisuuksiasi toteuttaa mukautettuja tietosuojakäytäntöjä tai peruuttaa pääsy tietomurron sattuessa. Tämä tarkistus varmistaa, että sinulla on yksinomainen valtuutus auditointilokin salaukseen, mikä vähentää kolmannen osapuolen avainaltistumisesta aiheutuvaa riskiä.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että toimintolokin vientiin käytetty tallennustili on salattu Customer Managed Key -menetelmällä oletusarvoisen Microsoft-hallinnoidun avaimen sijaan. Tämä tarkistus näkyy hallintapaneelissasi azure-diagnostic-settings-tarkistusten alla ja tunnistaa virheelliset määritykset, jotka jättävät kriittiset lokitiedot vähemmän suojatuiksi.
Korjaaminen
- Avaa Azure Portal ja siirry kohtaan Monitor.
- Valitse Activity log ja sen jälkeen Export Activity Logs.
- Valitse määritettävä tilaus ja merkitse muistiin sen diagnostiikka-asetuksessa käytetyn tallennustilin nimi.
- Siirry kohtaan Storage accounts ja napsauta muistiin merkittyä tallennustiliä.
- Valitse Security + networking -kohdasta Encryption.
- Valitse Encryption type -kohdasta Customer-managed keys.
- Noudata näytön ohjeita avaimen määrittämiseen Key Vaultista, mukaan lukien avaimen valinta ja sen käyttöoikeuksien asettaminen.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations 3.0.0: Luku 6.1.3 (Taso 2)
- EIDSCA: Azure Storage data protection
Aiheeseen liittyvät resurssit
- Microsoft Learn: Use customer-managed key option in data-at-rest encryption
- Microsoft Learn: Activity log export and legacy log profiles