Ensure that VHDs are Encrypted
Dlaczego to ma znaczenie
Niezaszyfrowane wirtualne dyski twarde (VHD) przechowywane w magazynie obiektów blob platformy Azure mogą narazić wrażliwą zawartość systemu operacyjnego i dysków danych na potencjalny nieautoryzowany dostęp, jeśli konto magazynu zostanie naruszone. Mimo że Microsoft zaleca używanie dysków zarządzanych dla nowych wdrożeń, starsze wirtualne dyski twarde są nadal używane w wielu kluczowych obciążeniach i wymagają jawnego szyfrowania, aby spełnić wymogi dotyczące zgodności i bezpieczeństwa. Brak szyfrowania tych dysków może prowadzić do naruszeń danych oraz braku zgodności ze standardami takimi jak CIS i EIDSCA.
Co sprawdza Aether365
Aether365 weryfikuje, czy na kontach magazynu zawierających wirtualne dyski twarde włączono szyfrowanie, przy użyciu kluczy zarządzanych przez platformę (PMK) lub kluczy zarządzanych przez klienta (CMK). To sprawdzenie pojawi się na pulpicie nawigacyjnym Aether365 w grupie kontroli azure-azure-disks.
Jak naprawić
- Przejdź do Azure Portal i wybierz opcję Storage accounts.
- Wybierz konto magazynu zawierające niezaszyfrowane wirtualne dyski twarde.
- W obszarze Security + networking wybierz Encryption.
- Włącz szyfrowanie, używając Platform-managed keys lub Customer-managed keys w zależności od stopnia dojrzałości zarządzania kluczami.
- Jeśli używasz kluczy zarządzanych przez klienta, skonfiguruj magazyn kluczy i ustaw zasady rotacji kluczy.
- Zastosuj zmianę szyfrowania i sprawdź, czy wszystkie obiekty blob wirtualnych dysków twardych są już zaszyfrowane.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 – Sekcja 8.9 (Poziom 2)
- EIDSCA – Kontrole szyfrowania magazynu
- CISA – Podstawa bezpieczeństwa chmury dla usługi Azure Storage