Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Hvorfor Dette er Viktig
Transparent Data Encryption (TDE) beskytter SQL-dataene dine i hvile, men når kun et tjenesteadministrert sertifikat beskytter krypteringsnøkkelen, mangler du innsyn og kontroll over hvem som kan få tilgang til den nøkkelen. Ved å bruke en kundeadministrert nøkkel lagret i Azure Key Vault, håndhever du oppgaveadskillelse, får full kontroll over nøkkelrotasjon og tilgangspolicyer, og oppfyller overholdelseskrav for sensitive eller regulerte data. Uten denne kontrollen kan en kompromittert tjenestenivånøkkel eksponere alle krypterte databaser under den serveren.
Hva Aether365 Sjekker
Aether365 verifiserer at hver Azure SQL Server har sin TDE-beskytter kryptert med en kundeadministrert nøkkel lagret i Azure Key Vault, ikke med et tjenesteadministrert sertifikat. Denne sjekken vises i Aether365-dashbordet under seksjonen for azure-sql-server-sjekker.
Hvordan Fikse
- Åpne Azure Portal og naviger til SQL-serveren som inneholder databasene du vil beskytte.
- I venstremenyen velger du Transparent data encryption.
- Sett alternativet TDE protector til Customer-managed key.
- Følg instruksjonene for å velge et eksisterende nøkkelhvelv og nøkkel, eller opprett et nytt nøkkelhvelv og importer eller generer en nøkkel. Merk at nøkkelhvelvet må være i samme Azure-region som SQL-serveren din.
- Bekreft konfigurasjonen og verifiser at alle databaser under serveren nå arver den kundeadministrerte nøkkelbeskytteren.
- Sett opp en rotasjonsplan for nøkkel og automatiske administrasjonsverktøy (for eksempel Azure Key Vault-nøkkelrotasjon eller nøkkelleverandørens verktøysett) for å opprettholde kontinuerlig sikkerhet.
Overholdelse
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Nivå 2)
- EIDSCA: Sikrer at datakrypteringsnøkkelbeskyttelse samsvarer med bedriftens nøkkeladministrasjonsstandarder