Ensure storage for critical data are encrypted with Customer Managed Key
Miért fontos ez
Az Azure Storage alapértelmezés szerint automatikusan titkosítja az összes tárolt adatot Microsoft által kezelt kulcsokkal. Az érzékeny vagy szabályozott adatokat kezelő szervezetek azonban gyakran igénylik a titkosítási kulcsok részletesebb felügyeletét a megfelelőségi előírások vagy belső biztonsági irányelvek teljesítéséhez. Az ügyfél által kezelt kulcsok (CMK) használatával teljes körű irányítást kap a kulcsok életciklusa, hozzáférése és rotációja felett, csökkentve ezzel az illetéktelen adathozzáférés kockázatát, ha a Microsoft kulcskezelése sérülne.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy minden, kritikus adatokat tároló Azure Storage-fiók titkosítása ügyfél által kezelt kulccsal van-e konfigurálva az alapértelmezett Microsoft által kezelt kulcs helyett. Ez az ellenőrzés az Aether365 irányítópultján az azure-storage-accounts kategóriában jelenik meg.
Javítás menete
- Jelentkezzen be az Azure portalba, és navigáljon a Storage Accounts elemre.
- Válassza ki azokat a tárfiókokat, amelyekhez ügyfél által kezelt kulcsos titkosítás szükséges.
- A bal oldali menüben lépjen az Encryption elemre a Security + networking alatt.
- Az Encryption type mezőben válassza a Customer-managed keys lehetőséget.
- Válasszon ki vagy hozzon létre egy Azure Key Vault-kulcsot, majd állítsa be a kulcs URI-ját, és opcionálisan engedélyezze az automatikus kulcsverzió-rotációt.
- Kattintson a Save gombra a konfiguráció alkalmazásához.
Megfelelőség
- CIS Microsoft Azure Foundations 3.0.0: 4.11. szakasz (2. szint)
- Microsoft Security Benchmark: Adatvédelem DP-1 vezérlő
- EIDSCA (ha alkalmazható): A tárfiókok titkosítási kulcskezelésének biztosítása
Kapcsolódó források
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure