Ensure that VHDs are Encrypted
Pourquoi c'est important
Les VHD non chiffrées stockées dans le stockage Blob Azure exposent le contenu sensible des disques de système d'exploitation et de données à un accès non autorisé potentiel si le compte de stockage est compromis. Bien que Microsoft recommande les disques gérés pour les nouveaux déploiements, les VHD héritées restent utilisées pour de nombreuses charges de travail critiques et nécessitent un chiffrement explicite pour répondre aux exigences de conformité et de sécurité. Ne pas chiffrer ces disques peut entraîner des violations de données et une non-conformité aux normes telles que CIS et EIDSCA.
Ce que vérifie Aether365
Aether365 vérifie que vos comptes de stockage contenant des VHD ont activé le chiffrement, soit avec des clés gérées par la plateforme (PMK) soit avec des clés gérées par le client (CMK). Cette vérification apparaît dans votre tableau de bord Aether365 sous le groupe de vérifications azure-azure-disks.
Comment corriger
- Accédez au Azure Portal et sélectionnez Storage accounts.
- Choisissez le compte de stockage qui contient des VHD non chiffrées.
- Sous Security + networking, sélectionnez Encryption.
- Activez le chiffrement en utilisant Platform-managed keys ou Customer-managed keys selon votre niveau de maturité en gestion des clés.
- Si vous utilisez des clés gérées par le client, configurez un coffre de clés et définissez des stratégies de rotation des clés.
- Appliquez la modification de chiffrement et vérifiez que tous les blobs VHD sont désormais chiffrés.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 – Section 8.9 (Niveau 2)
- EIDSCA – Contrôles de chiffrement du stockage
- CISA – Base de référence de sécurité cloud pour le stockage Azure