Ensure storage for critical data are encrypted with Customer Managed Key
Waarom dit belangrijk is
Azure Storage versleutelt standaard automatisch alle data-at-rest met door Microsoft beheerde sleutels. Organisaties die gevoelige of gereguleerde data verwerken, hebben echter vaak behoefte aan gedetailleerde controle over versleutelingssleutels om aan compliancy-eisen of interne beveiligingsbeleidsregels te voldoen. Het gebruik van door de klant beheerde sleutels (CMK) geeft u volledige zeggenschap over de levenscyclus, toegang en rotatie van sleutels. Dit vermindert het risico op ongeautoriseerde datatoegang als Microsoft's sleutelbeheer wordt gecompromitteerd.
Wat Aether365 controleert
Aether365 controleert of elk Azure Storage-account dat wordt gebruikt voor kritieke data, is geconfigureerd met versleuteling via een door de klant beheerde sleutel in plaats van de standaard door Microsoft beheerde sleutel. Deze controle verschijnt in uw Aether365-dashboard onder de categorie azure-storage-accounts.
Hoe u dit kunt oplossen
- Meld u aan bij de Azure Portal en navigeer naar Storage Accounts.
- Selecteer elk opslagaccount waarvoor versleuteling met een door de klant beheerde sleutel is vereist.
- Ga in het linkermenu naar Encryption onder Security + networking.
- Kies bij Encryption type voor Customer-managed keys.
- Selecteer of maak een Azure Key Vault-sleutel, configureer vervolgens de sleutel-URI en stel eventueel automatische rotatie van de sleutelversie in.
- Klik op Save om de configuratie toe te passen.
Compliance
- CIS Microsoft Azure Foundations 3.0.0: Sectie 4.11 (Niveau 2)
- Microsoft Security Benchmark: Data Protection-besturing DP-1
- EIDSCA (indien van toepassing): Zorg voor versleutelingssleutelbeheer voor opslagaccounts
Gerelateerde bronnen
- Azure Storage-versleuteling voor data-at-rest
- Best practices voor Azure-data-versleuteling
- Azure Storage-versleuteling versus schijfversleuteling
- Databeveiligingsbesturingen in Azure