Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Dlaczego to jest ważne
Transparent Data Encryption (TDE) chroni dane SQL w spoczynku, ale gdy tylko certyfikat zarządzany przez usługę chroni klucz szyfrowania, brakuje Ci widoczności i kontroli nad tym, kto może uzyskać dostęp do tego klucza. Używając klucza zarządzanego przez klienta przechowywanego w Azure Key Vault, wymuszasz rozdzielenie obowiązków, uzyskujesz pełną kontrolę nad rotacją kluczy i politykami dostępu oraz spełniasz wymagania zgodności dla danych wrażliwych lub regulowanych. Bez tej kontroli naruszony klucz na poziomie usługi mógłby ujawnić wszystkie zaszyfrowane bazy danych na tym serwerze.
Co sprawdza Aether365
Aether365 weryfikuje, czy każdy Azure SQL Server ma ochronę TDE zaszyfrowaną kluczem zarządzanym przez klienta przechowywanym w Azure Key Vault, a nie certyfikatem zarządzanym przez usługę. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji kontroli azure-sql-server.
Jak naprawić
- Otwórz Azure Portal i przejdź do serwera SQL, który hostuje bazy danych, które chcesz chronić.
- W lewym menu wybierz Transparent Data Encryption.
- Ustaw opcję TDE protector na Customer-managed key.
- Postępuj zgodnie z monitami, aby wybrać istniejący magazyn kluczy i klucz lub utworzyć nowy magazyn kluczy i zaimportować lub wygenerować klucz. Pamiętaj, że magazyn kluczy musi znajdować się w tym samym regionie Azure co Twój serwer SQL.
- Potwierdź konfigurację i sprawdź, czy wszystkie bazy danych na tym serwerze odziedziczyły teraz ochronę kluczem zarządzanym przez klienta.
- Skonfiguruj harmonogram rotacji kluczy i zautomatyzowane narzędzia zarządzające (takie jak rotacja kluczy Azure Key Vault lub zestaw narzędzi dostawcy kluczy), aby utrzymać ciągłe bezpieczeństwo.
Zgodność
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Poziom 2)
- EIDSCA: Zapewnia, że ochrona kluczy szyfrowania danych jest zgodna z korporacyjnymi standardami zarządzania kluczami