Ensure that VHDs are Encrypted
Miért Fontos Ez
A titkosítatlan VHD-k Azure blobtárolóban tárolva érzékeny operációs rendszer- és adatlemez-tartalmakat tesznek ki jogosulatlan hozzáférés veszélyének, ha a tárfiók biztonsága sérül. Bár a Microsoft felügyelt lemezeket ajánl az új telepítésekhez, számos kritikus fontosságú számítási feladat továbbra is örökölt VHD-ket használ, amelyek esetében explicit titkosítás szükséges a megfelelőségi és biztonsági követelmények teljesítéséhez. Ezen lemezek titkosításának elmulasztása adatszivárgáshoz és olyan szabványoknak való meg nem feleléshez vezethet, mint a CIS és az EIDSCA.
Mit Ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a VHD-ket tartalmazó tárfiókokon engedélyezve van-e a titkosítás, akár platform által felügyelt kulcsokkal (PMK), akár ügyfél által felügyelt kulcsokkal (CMK). Ez az ellenőrzés az Aether365 irányítópultján a azure-azure-disks ellenőrzéscsoportban jelenik meg.
Javítási Lépések
- Lépjen az Azure Portalra, és válassza a Storage accounts lehetőséget.
- Válassza ki azt a tárfiókot, amely titkosítatlan VHD-ket tartalmaz.
- A Security + networking alatt válassza az Encryption lehetőséget.
- Engedélyezze a titkosítást a Platform-managed keys vagy a Customer-managed keys segítségével, a kulcskezelési érettségének megfelelően.
- Ha ügyfél által felügyelt kulcsokat használ, konfiguráljon egy kulcstartót, és állítson be kulcsforgatási szabályzatokat.
- Alkalmazza a titkosítási módosítást, és ellenőrizze, hogy az összes VHD blob most már titkosított.
Megfelelőség
- CIS Microsoft Azure Foundations 3.0.0 – 8.9. szakasz (2. szint)
- EIDSCA – Tárhelytitkosítási vezérlők
- CISA – Azure Storage felhőbiztonsági alapvonal