Ensure that VHDs are Encrypted
Kodėl tai svarbu
Neužšifruoti VHD failai, saugomi „Azure“ „Blob“ saugykloje, atskleidžia jautrius OS ir duomenų diskų turinius, todėl gali kilti neteisėtos prieigos rizika, jei saugojimo paskyra būtų pažeista. Nors „Microsoft“ rekomenduoja naudoti valdomus diskus naujiems diegimams, senesni VHD failai vis dar naudojami daugelyje kritinių darbo krūvių ir jiems reikia aiškaus šifravimo, kad būtų laikomasi atitikties ir saugumo reikalavimų. Neužšifravus šių diskų, gali įvykti duomenų saugumo pažeidimai ir nesilaikoma tokių standartų kaip CIS ir EIDSCA.
Ką tikrina „Aether365“
„Aether365“ patikrina, ar jūsų saugojimo paskyrose, kuriose yra VHD failų, įjungtas šifravimas naudojant platformos valdomus raktus (PMK) arba kliento valdomus raktus (CMK). Šis patikrinimas rodomas jūsų „Aether365“ ataskaitų skydelyje po azure-azure-disks tikrinimų grupe.
Kaip ištaisyti
- Eikite į Azure Portal ir pasirinkite Storage accounts.
- Pasirinkite saugojimo paskyrą, kurioje yra neužšifruotų VHD failų.
- Skiltyje Security + networking pasirinkite Encryption.
- Įjunkite šifravimą naudodami Platform-managed keys arba Customer-managed keys, atsižvelgdami į savo raktų valdymo brandą.
- Jei naudojate kliento valdomus raktus, sukonfigūruokite rakto saugyklą ir nustatykite raktų keitimo strategijas.
- Pritaikykite šifravimo pakeitimą ir patikrinkite, ar visi VHD „blob“ objektai dabar yra užšifruoti.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 – 8.9 skirsnis (2 lygis)
- EIDSCA – Saugojimo šifravimo valdikliai
- CISA – Debesų saugumo pradinis lygis, skirtas „Azure Storage“