Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Miért fontos ez
Az aktivitási naplók ügyfél által felügyelt kulcsokkal (CMK) történő titkosítása közvetlen irányítást biztosít a titkosítási kulcsok felett a megfelelőség és biztonság érdekében. CMK nélkül a Microsoft kezeli a kulcsokat alapértelmezetten, ami korlátozza az egyéni adatvédelmi szabályzatok érvényesítésének vagy a hozzáférés visszavonásának képességét egy incidens esetén. Ez az ellenőrzés biztosítja, hogy kizárólagos jogkörrel rendelkezzen a naplózási titkosítás felett, csökkentve a harmadik féltől származó kulcskihelyezésből eredő kockázatot.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy az aktivitási napló exportálásához használt tárfiók ügyfél által felügyelt kulccsal van-e titkosítva az alapértelmezett Microsoft felügyelt kulcs helyett. Ez az ellenőrzés az irányítópulton azure-diagnostic-settings ellenőrzések alatt jelenik meg, azonosítva azokat a helytelen konfigurációkat, amelyek kevésbé védetté teszik a kritikus naplózási adatokat.
Hogyan javítható
- Nyissa meg az Azure portált, és lépjen a Monitor elemre.
- Válassza az Activity log lehetőséget, majd kattintson az Export Activity Logs gombra.
- Válassza ki a konfigurálni kívánt előfizetést, és jegyezze fel a diagnosztikai beállításához használt tárfiók nevét.
- Navigáljon a Storage accounts elemhez, és kattintson a megjegyzett tárfiókra.
- A Security + networking alatt válassza az Encryption lehetőséget.
- Az Encryption type mezőben válassza a Customer-managed keys opciót.
- Kövesse a képernyőn megjelenő lépéseket a Key Vault-ból származó kulcs konfigurálásához, beleértve a kulcs kiválasztását és az engedélyek beállítását.
Megfelelőség
- CIS Microsoft Azure Foundations 3.0.0: 6.1.3 szakasz (2. szint)
- EIDSCA: Azure Storage adatvédelem
Kapcsolódó források
- Microsoft Learn: Use customer-managed key option in data-at-rest encryption
- Microsoft Learn: Activity log export and legacy log profiles