Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Hvorfor dette er viktig
Kryptering av aktivitetslogger med Customer Managed Keys (CMK) gir deg direkte kontroll over krypteringsnøkler for samsvar og sikkerhet. Uten CMK forvalter Microsoft nøklene som standard, noe som begrenser din mulighet til å håndheve egendefinerte databeskyttelsespolicyer eller tilbakekalle tilgang ved et sikkerhetsbrudd. Denne kontrollen sikrer at du har eksklusiv myndighet over krypteringen av revisjonsloggene dine, noe som reduserer risikoen fra tredjeparts nøkkeleksponering.
Hva Aether365 kontrollerer
Aether365 bekrefter at lagringskontoen som brukes til eksport av aktivitetsloggen, er kryptert med en Customer Managed Key i stedet for standard Microsoft-administrert nøkkel. Denne kontrollen vises i dashbordet ditt under azure-diagnostic-settings kontroller, og identifiserer feilkonfigurasjoner som etterlater kritiske loggdata mindre beskyttet.
Slik fikser du det
- Åpne Azure Portal og gå til Monitor.
- Velg Activity log, og deretter Export Activity Logs.
- Velg abonnementet du vil konfigurere, og noter navnet på lagringskontoen som brukes til diagnoseinnstillingen.
- Naviger til Storage accounts, og klikk på den noterte lagringskontoen.
- Under Security + networking velger du Encryption.
- For Encryption type velger du Customer-managed keys.
- Følg trinnene på skjermen for å konfigurere nøkkelen fra Key Vault, inkludert valg av nøkkel og angivelse av tillatelser.
Samsvar
- CIS Microsoft Azure Foundations 3.0.0: Seksjon 6.1.3 (Nivå 2)
- EIDSCA: Azure Storage databeskyttelse
Relaterte ressurser
- Microsoft Learn: Bruke alternativet customer-managed key i datakryptering i hvile
- Microsoft Learn: Eksport av aktivitetslogg og eldre loggprofiler