Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Waarom dit belangrijk is
Het versleutelen van activiteitenlogboeken met Customer Managed Keys (CMK) geeft u directe controle over de versleutelingssleutels voor naleving en beveiliging. Zonder CMK beheert Microsoft standaard de sleutels, wat uw mogelijkheden beperkt om aangepaste gegevensbeschermingsbeleid toe te passen of toegang in te trekken bij een beveiligingsincident. Deze controle zorgt ervoor dat u exclusief gezag heeft over de versleuteling van uw audittrail, waardoor het risico van blootstelling aan externe sleutels wordt verminderd.
Wat Aether365 controleert
Aether365 controleert of het opslagaccount dat wordt gebruikt voor het exporteren van activiteitenlogboeken is versleuteld met een Customer Managed Key in plaats van de standaard door Microsoft beheerde sleutel. Deze controle verschijnt in uw dashboard onder azure-diagnostic-settings controles en identificeert verkeerde configuraties die kritieke logboekgegevens minder goed beschermd achterlaten.
Hoe het te herstellen
- Open de Azure Portal en ga naar Monitor.
- Selecteer Activity log, kies vervolgens Export Activity Logs.
- Selecteer het abonnement dat u wilt configureren en noteer de naam van het opslagaccount dat wordt gebruikt voor de diagnostische instelling ervan.
- Navigeer naar Storage accounts, klik op het genoteerde opslagaccount.
- Selecteer onder Security + networking de optie Encryption.
- Kies bij Encryption type voor Customer-managed keys.
- Volg de stappen op het scherm om de sleutel uit uw Key Vault te configureren, inclusief het selecteren van de sleutel en het instellen van de machtigingen ervan.
Naleving
- CIS Microsoft Azure Foundations 3.0.0: Section 6.1.3 (Level 2)
- EIDSCA: Azure Storage data protection
Gerelateerde bronnen
- Microsoft Learn: Use customer-managed key option in data-at-rest encryption
- Microsoft Learn: Activity log export and legacy log profiles