Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Kodėl tai svarbu
„Transparent Data Encryption“ (TDE) apsaugo jūsų SQL duomenis ramybės būsenoje, tačiau kai šifravimo raktą apsaugo tik tarnybos valdomas sertifikatas, jūs neturite matomumo ir kontrolės, kas gali pasiekti tą raktą. Naudodami kliento valdomą raktą, saugomą „Azure Key Vault“, jūs užtikrinate pareigų atskyrimą, įgyjate visišką rakto rotacijos ir prieigos politikų kontrolę bei atitinkate slaptų ar reglamentuojamų duomenų atitikties reikalavimus. Be šios kontrolės pažeistas tarnybos lygio raktas gali atskleisti visas užšifruotas duomenų bazes, esančias tame serveryje.
Ką tikrina Aether365
„Aether365“ patikrina, ar kiekvienas „Azure SQL“ serveris turi savo TDE apsaugą užšifruotą kliento valdomu raktu, saugomu „Azure Key Vault“, o ne tarnybos valdomu sertifikatu. Šis patikrinimas matomas jūsų „Aether365“ skydelyje po azure-sql-server patikrinimų skyriumi.
Kaip ištaisyti
- Atidarykite „Azure“ portalą ir eikite į SQL serverį, kuris talpina jūsų norimas apsaugoti duomenų bazes.
- Kairiajame meniu pasirinkite Transparent data encryption.
- Nustatykite TDE protector parinktį į Customer-managed key.
- Vadovaukitės raginimais, kad pasirinktumėte esamą rakto saugyklą ir raktą, arba sukurtumėte naują rakto saugyklą ir importuotumėte arba sugeneruotumėte raktą. Atkreipkite dėmesį, kad rakto saugykla turi būti toje pačioje „Azure“ regione kaip ir jūsų SQL serveris.
- Patvirtinkite konfigūraciją ir įsitikinkite, kad visos duomenų bazės po tuo serveriu dabar paveldi kliento valdomo rakto apsaugą.
- Nustatykite rakto rotacijos grafiką ir automatizuoto valdymo įrankius (pvz., „Azure Key Vault“ rakto rotaciją arba jūsų rakto teikėjo įrankių rinkinį), kad palaikytumėte nuolatinį saugumą.
Atitiktis
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (2 lygis)
- EIDSCA: Užtikrina, kad duomenų šifravimo rakto apsauga atitiktų įmonės raktų valdymo standartus