Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Kāpēc tas ir svarīgi
Transparent Data Encryption (TDE) aizsargā jūsu SQL datus miera stāvoklī, taču, ja šifrēšanas atslēgu aizsargā tikai pakalpojuma pārvaldīts sertifikāts, jums nav caurskatāmības un kontroles pār to, kam ir piekļuve šai atslēgai. Izmantojot klienta pārvaldītu atslēgu, kas glabājas Azure Key Vault, jūs nodrošināt pienākumu sadali, iegūstat pilnu kontroli pār atslēgas rotāciju un piekļuves politikām, kā arī izpildāt atbilstības prasības sensitīviem vai regulētiem datiem. Bez šīs kontroles kompromitēta pakalpojuma līmeņa atslēga var atklāt visas šifrētās datubāzes šī servera ietvaros.
Ko pārbauda Aether365
Aether365 pārbauda, vai katram Azure SQL serverim tā TDE aizsargs ir šifrēts ar klienta pārvaldītu atslēgu, kas glabājas Azure Key Vault, nevis ar pakalpojuma pārvaldītu sertifikātu. Šī pārbaude parādās jūsu Aether365 informācijas panelī sadaļā azure-sql-server pārbaudes.
Kā to novērst
- Atveriet Azure portal un dodieties uz SQL serveri, kurā atrodas datubāzes, ko vēlaties aizsargāt.
- Kreisajā izvēlnē atlasiet Transparent data encryption.
- Iestatiet opciju TDE protector uz Customer-managed key.
- Izpildiet norādījumus, lai atlasītu esošu atslēgu krātuvi un atslēgu vai izveidotu jaunu atslēgu krātuvi un importētu vai ģenerētu atslēgu. Ņemiet vērā, ka atslēgu krātuvei jāatrodas tajā pašā Azure reģionā, kur jūsu SQL serveris.
- Apstipriniet konfigurāciju un pārbaudiet, vai visas datubāzes šajā serverī tagad izmanto klienta pārvaldītu atslēgu kā aizsargu.
- Iestatiet atslēgas rotācijas grafiku un automatizētus pārvaldības rīkus (piemēram, Azure Key Vault atslēgas rotācija vai jūsu atslēgu nodrošinātāja rīki), lai uzturētu pastāvīgu drošību.
Atbilstība
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (2. līmenis)
- EIDSCA: Nodrošina datu šifrēšanas atslēgu aizsardzību saskaņā ar uzņēmuma atslēgu pārvaldības standartiem