Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Miksi tämä on tärkeää
Transparent Data Encryption (TDE) suojaa SQL-tietojasi lepotilassa, mutta kun vain palvelun hallinnoima varmenne suojaa salausta, sinulla ei ole näkyvyyttä eikä hallintaa siihen, kuka voi käyttää avainta. Käyttämällä asiakkaan hallinnoimaa avainta, joka on tallennettu Azure Key Vaultiin, voit varmistaa tehtävien erottelun, saada täyden hallinnan avaimen vaihtoon ja käyttöoikeuskäytäntöihin sekä täyttää arkaluonteisten tai säänneltyjen tietojen vaatimustenmukaisuusvaatimukset. Ilman tätä hallintaa vaarantunut palvelutason avain voisi paljastaa kaikki kyseisen palvelimen salatut tietokannat.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että jokaisen Azure SQL Serverin TDE-suojaus on salattu asiakkaan hallinnoimalla avaimella, joka on tallennettu Azure Key Vaultiin, eikä palvelun hallinnoimalla varmenteella. Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-sql-server -tarkistusosiossa.
Korjaustoimenpiteet
- Avaa Azure Portal ja siirry SQL-palvelimeen, joka isännöi suojaamiasi tietokantoja.
- Valitse vasemmasta valikosta Transparent data encryption.
- Aseta TDE protector -asetukseksi Customer-managed key.
- Noudata kehotteita valitaksesi olemassa olevan avainsäilön ja avaimen tai luo uusi avainsäilö ja tuo tai luo avain. Huomaa, että avainsäilön on oltava samassa Azure-alueella kuin SQL-palvelimesi.
- Vahvista määritys ja varmista, että kaikki kyseisen palvelimen tietokannat perivät nyt asiakkaan hallinnoiman avainsuojauksen.
- Määritä avaimen vaihtoaikataulu ja automatisoidut hallintatyökalut (kuten Azure Key Vault -avaimen vaihto tai avaintoimittajan työkalupakki) jatkuvan turvallisuuden ylläpitämiseksi.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Taso 2)
- EIDSCA: Varmistaa, että tietojen salausavaimen suojaus on yrityksen avainhallintastandardien mukainen