Ensure that 'Enable Infrastructure Encryption' for Each Storage Account in Azure Storage is Set to 'enabled'

Dlaczego to ma znaczenie

Azure Storage domyślnie szyfruje dane na poziomie sieci za pomocą 256-bitowego szyfrowania AES, ale włączenie szyfrowania infrastruktury dodaje drugą warstwę szyfrowania na poziomie sprzętowym. Chroni to dane nawet w przypadku naruszenia jednego algorytmu lub klucza szyfrowania, a także zapewnia szyfrowanie danych przed transmisją sieciową oraz w kopiach zapasowych. Bez tego ustawienia konta magazynu nie mają najwyższego poziomu zabezpieczeń przed scenariuszami naruszenia kluczy.

Co sprawdza Aether365

To sprawdzenie weryfikuje, czy szyfrowanie infrastruktury jest włączone dla każdego konta Azure Storage. Jest ono widoczne na pulpicie nawigacyjnym Aether365 w grupie kontroli zabezpieczeń azure-storage-accounts.

Jak naprawić

1. Zaloguj się do witryny Azure Portal i przejdź do sekcji Storage Accounts.
2. Wybierz konto magazynu, które chcesz skonfigurować, lub utwórz nowe.
3. W kreatorze tworzenia konta magazynu przejdź do karty Advanced.
4. W obszarze Infrastructure Encryption wybierz opcję Enabled.
5. Uwaga: Szyfrowania infrastruktury nie można włączyć po utworzeniu konta magazynu. Należy je włączyć podczas początkowej konfiguracji. Jeśli potrzebujesz go na istniejącym koncie, musisz utworzyć nowe konto magazynu i przeprowadzić migrację danych.

Zgodność

• CIS Microsoft Azure Foundations 3.0.0 4.2 (Level 2)
• EIDSCA

Powiązane zasoby

• Check the encryption status of a blob
• Azure Storage encryption for data at rest
• Enable infrastructure encryption on Azure Storage

Microsoft references

• Storage blob encryption status
• Storage service encryption
• Infrastructure encryption enable