Ensure that VHDs are Encrypted
Perché è Importante
I VHD non crittografati archiviati nell'archiviazione BLOB di Azure espongono i dati sensibili del sistema operativo e dei dischi dati a potenziali accessi non autorizzati in caso di compromissione dell'account di archiviazione. Sebbene Microsoft raccomandi i dischi gestiti per le nuove distribuzioni, i VHD legacy sono ancora utilizzati per molti carichi di lavoro critici e richiedono una crittografia esplicita per soddisfare i requisiti di conformità e sicurezza. La mancata crittografia di questi dischi può portare a violazioni dei dati e alla non conformità con standard come CIS ed EIDSCA.
Cosa Controlla Aether365
Aether365 verifica che i tuoi account di archiviazione contenenti VHD abbiano la crittografia abilitata, con chiavi gestite dalla piattaforma (PMK) o chiavi gestite dal cliente (CMK). Questo controllo appare nel dashboard di Aether365 sotto il gruppo di controllo azure-azure-disks.
Come Risolvere
- Accedi al Azure Portal e seleziona Storage accounts.
- Scegli l'account di archiviazione che contiene VHD non crittografati.
- In Security + networking, seleziona Encryption.
- Abilita la crittografia utilizzando Platform-managed keys o Customer-managed keys in base al livello di maturità della gestione delle chiavi.
- Se utilizzi chiavi gestite dal cliente, configura un key vault e imposta le policy di rotazione delle chiavi.
- Applica la modifica di crittografia e verifica che tutti i BLOB VHD siano ora crittografati.
Conformità
- CIS Microsoft Azure Foundations 3.0.0 – Sezione 8.9 (Livello 2)
- EIDSCA – Controlli di crittografia dell'archiviazione
- CISA – Baseline di sicurezza cloud per Archiviazione di Azure