Ensure that VHDs are Encrypted
Waarom Dit Belangrijk Is
Onversleutelde VHD's die zijn opgeslagen in Azure blob-opslag stellen gevoelige OS- en gegevensschijfinhouden bloot aan mogelijke ongeautoriseerde toegang als het opslagaccount wordt gecompromitteerd. Hoewel Microsoft beheerde schijven aanbeveelt voor nieuwe implementaties, worden legacy VHD's nog steeds gebruikt voor veel kritieke workloads en vereisen ze expliciete versleuteling om te voldoen aan compliance- en beveiligingseisen. Het niet versleutelen van deze schijven kan leiden tot datalekken en niet-naleving van standaarden zoals CIS en EIDSCA.
Wat Aether365 Controleert
Aether365 controleert of uw opslagaccounts met VHD's versleuteling hebben ingeschakeld, hetzij met door het platform beheerde sleutels (PMK) of door de klant beheerde sleutels (CMK). Deze controle wordt weergegeven in uw Aether365-dashboard onder de controlegroep azure-azure-disks.
Hoe Het Op Te Lossen
- Navigeer naar de Azure Portal en selecteer Storage accounts.
- Kies het opslagaccount dat onversleutelde VHD's bevat.
- Selecteer onder Security + networking de optie Encryption.
- Schakel versleuteling in met Platform-managed keys of Customer-managed keys, afhankelijk van de volwassenheid van uw sleutelbeheer.
- Als u door de klant beheerde sleutels gebruikt, configureer dan een key vault en stel beleid voor sleutelrotatie in.
- Pas de versleutelingswijziging toe en controleer of alle VHD-blobs nu zijn versleuteld.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 – Sectie 8.9 (Niveau 2)
- EIDSCA – Opslagversleutelingscontroles
- CISA – Cloudbeveiligingsbasislijn voor Azure Storage