Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Kāpēc tas ir svarīgi
Aktivitāšu žurnālu šifrēšana ar Customer Managed Keys (CMK) sniedz jums tiešu kontroli pār šifrēšanas atslēgām atbilstības un drošības nolūkos. Bez CMK Microsoft pēc noklusējuma pārvalda atslēgas, kas ierobežo jūsu iespējas ieviest pielāgotas datu aizsardzības politikas vai atsaukt piekļuvi drošības pārkāpuma gadījumā. Šī pārbaude nodrošina, ka jums ir ekskluzīva vara pār jūsu audita žurnālu šifrēšanu, samazinot risku, kas saistīts ar trešo pušu atslēgu ekspozīciju.
Ko pārbauda Aether365
Aether365 pārbauda, vai aktivitāšu žurnālu eksportēšanai izmantotais krātuves konts ir šifrēts ar Customer Managed Key, nevis pēc noklusējuma Microsoft pārvaldīto atslēgu. Šī pārbaude tiek parādīta jūsu informācijas panelī zem azure-diagnostic-settings pārbaudēm, identificējot nepareizas konfigurācijas, kas atstāj kritiskos žurnāla datus mazāk aizsargātus.
Kā novērst
- Atveriet Azure portal un dodieties uz Monitor.
- Izvēlieties Activity log, pēc tam izvēlieties Export Activity Logs.
- Izvēlieties abonementu, kuru vēlaties konfigurēt, un atzīmējiet diagnostikas iestatījumam izmantotā krātuves konta nosaukumu.
- Pārejiet uz Storage accounts, noklikšķiniet uz atzīmētā krātuves konta.
- Sadaļā Security + networking izvēlieties Encryption.
- Encryption type izvēlieties Customer-managed keys.
- Sekojiet ekrānā redzamajiem soļiem, lai konfigurētu atslēgu no sava Key Vault, ieskaitot atslēgas izvēli un tās atļauju iestatīšanu.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0: 6.1.3. sadaļa (2. līmenis)
- EIDSCA: Azure Storage datu aizsardzība
Saistītie resursi
- Microsoft Learn: Izmantot customer-managed key opciju datu šifrēšanai miera stāvoklī
- Microsoft Learn: Aktivitāšu žurnāla eksportēšana un mantotie žurnāla profili