Ensure that VHDs are Encrypted
Kāpēc tas ir svarīgi
Nešifrēti VHD faili, kas glabājas Azure blob krātuvē, pakļauj sensitīvu operētājsistēmas un datu disku saturu iespējamai nesankcionētai piekļuvei, ja krātuves konts tiek apdraudēts. Lai gan Microsoft iesaka izmantot pārvaldītos diskus jaunām izvietošanām, mantotie VHD faili joprojām tiek izmantoti daudzās kritiskās darba slodzēs, un tiem ir nepieciešama izteikta šifrēšana, lai izpildītu atbilstības un drošības prasības. Šo disku nešifrēšana var izraisīt datu aizsardzības pārkāpumus un neatbilstību tādiem standartiem kā CIS un EIDSCA.
Ko pārbauda Aether365
Aether365 pārbauda, vai jūsu krātuves kontos, kas satur VHD failus, ir iespējota šifrēšana, izmantojot vai nu platformas pārvaldītas atslēgas (PMK), vai klienta pārvaldītas atslēgas (CMK). Šī pārbaude ir redzama jūsu Aether365 informācijas panelī sadaļā azure-azure-disks pārbaužu grupā.
Kā labot
- Atveriet Azure Portal un atlasiet Storage accounts.
- Izvēlieties krātuves kontu, kas satur nešifrētus VHD failus.
- Sadaļā Security + networking atlasiet Encryption.
- Iespējojiet šifrēšanu, izmantojot Platform-managed keys vai Customer-managed keys atbilstoši jūsu atslēgu pārvaldības briedumam.
- Ja izmantojat klienta pārvaldītas atslēgas, konfigurējiet atslēgu glabātuvi (key vault) un iestatiet atslēgu rotācijas politikas.
- Pielietojiet šifrēšanas izmaiņas un pārbaudiet, vai visi VHD blob faili tagad ir šifrēti.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 – 8.9. sadaļa (2. līmenis)
- EIDSCA – Krātuves šifrēšanas kontroles
- CISA – Mākoņdrošības pamatnostādnes Azure Storage