Ensure storage for critical data are encrypted with Customer Managed Key
Perché è Importante
Azure Storage crittografa automaticamente tutti i dati inattivi utilizzando chiavi gestite da Microsoft per impostazione predefinita. Tuttavia, le organizzazioni che gestiscono dati sensibili o regolamentati spesso necessitano di un controllo granulare sulle chiavi di crittografia per soddisfare requisiti normativi o politiche di sicurezza interne. L'utilizzo di chiavi gestite dal cliente (CMK) offre piena autorità sul ciclo di vita, l'accesso e la rotazione delle chiavi, riducendo il rischio di accesso non autorizzato ai dati in caso di compromissione della gestione delle chiavi di Microsoft.
Cosa Controlla Aether365
Aether365 verifica se ogni account di archiviazione Azure utilizzato per dati critici è configurato con una chiave gestita dal cliente anziché con la chiave gestita da Microsoft predefinita. Questo controllo viene visualizzato nella dashboard di Aether365 sotto la categoria azure-storage-accounts.
Come Risolvere
- Accedere al Azure Portal e spostarsi su Storage Accounts.
- Selezionare ogni account di archiviazione che richiede la crittografia con chiave gestita dal cliente.
- Nel menu a sinistra, andare su Encryption sotto Security + networking.
- Per Encryption type, scegliere Customer-managed keys.
- Selezionare o creare una chiave Azure Key Vault, quindi configurare l'URI della chiave e, facoltativamente, impostare la rotazione automatica della versione della chiave.
- Fare clic su Save per applicare la configurazione.
Conformità
- CIS Microsoft Azure Foundations 3.0.0: Sezione 4.11 (Livello 2)
- Microsoft Security Benchmark: Controllo di Protezione dei Dati DP-1
- EIDSCA (se applicabile): Assicurare il controllo delle chiavi di crittografia per gli account di archiviazione
Risorse Correlate
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure