Ensure Infrastructure double encryption for PostgreSQL Database Server is Enabled
Dlaczego to jest ważne
Podwójne szyfrowanie infrastruktury dodaje warstwę ochrony na poziomie sprzętu, poniżej już istniejącego szyfrowania sieci i pamięci masowej. Zapewnia to szyfrowanie danych na wszystkich etapach, w tym w pamięci i pamięci podręcznej procesora, więc nawet jeśli szyfrowanie sieci zostanie naruszone, dane pozostają bezpieczne. Bez tej drugiej warstwy poufne informacje w bazie danych PostgreSQL są bardziej podatne na przechwycenie i nieautoryzowany dostęp.
Co sprawdza Aether365
Aether365 weryfikuje, czy podwójne szyfrowanie infrastruktury jest włączone w wystąpieniach Azure Database for PostgreSQL Single Server. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji Azure PostgreSQL Configuration i dotyczy tylko Single Server (nie Flexible Server).
Jak naprawić
Aby włączyć podwójne szyfrowanie infrastruktury, należy skonfigurować je podczas tworzenia serwera. Tej opcji nie można zmienić po wdrożeniu serwera.
- Przejdź do Azure Portal i wybierz Create a resource > Databases > Azure Database for PostgreSQL.
- Wybierz Single Server i kliknij Create.
- Na karcie Basics wypełnij subskrypcję, grupę zasobów, nazwę serwera i dane administratora.
- Na karcie Additional settings w sekcji Data encryption wybierz Infrastructure double encryption.
- Wybierz opcję zarządzania kluczami: użyj Customer-managed key (zalecane) lub klucza zarządzanego przez platformę. W przypadku kluczy zarządzanych przez klienta musisz mieć już klucz RSA 2048 w Azure Key Vault.
- Uzupełnij pozostałe ustawienia serwera i kliknij Review + create, a następnie Create.
Po utworzeniu sprawdź ustawienie, przechodząc do serwera w Azure Portal, wybierając Data encryption i potwierdzając, że stan Infrastructure double encryption to Enabled.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 – Sekcja 5.2.8 (Poziom 1)
- Ramy: CIS Microsoft Azure Foundations