Ensure storage for critical data are encrypted with Customer Managed Key
Dlaczego to jest ważne
Azure Storage domyślnie automatycznie szyfruje wszystkie dane w spoczynku przy użyciu kluczy zarządzanych przez Microsoft. Jednak organizacje przetwarzające dane wrażliwe lub podlegające regulacjom często wymagają szczegółowej kontroli nad kluczami szyfrowania, aby spełnić wymogi zgodności lub wewnętrzne polityki bezpieczeństwa. Stosowanie kluczy zarządzanych przez klienta (CMK) daje pełną kontrolę nad cyklem życia, dostępem i rotacją kluczy, co zmniejsza ryzyko nieautoryzowanego dostępu do danych w przypadku naruszenia zarządzania kluczami przez Microsoft.
Co sprawdza Aether365
Aether365 weryfikuje, czy każde konto Azure Storage używane do przechowywania danych krytycznych ma skonfigurowane szyfrowanie przy użyciu klucza zarządzanego przez klienta, a nie domyślnego klucza zarządzanego przez Microsoft. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w kategorii azure-storage-accounts.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do Storage Accounts.
- Wybierz każde konto magazynu, które wymaga szyfrowania kluczem zarządzanym przez klienta.
- W lewym menu przejdź do Encryption w sekcji Security + networking.
- Dla Encryption type wybierz Customer-managed keys.
- Wybierz lub utwórz klucz w Azure Key Vault, a następnie skonfiguruj identyfikator URI klucza i opcjonalnie włącz automatyczną rotację wersji klucza.
- Kliknij Save, aby zastosować konfigurację.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0: Sekcja 4.11 (Poziom 2)
- Microsoft Security Benchmark: Ochrona danych – kontrola DP-1
- EIDSCA (jeżeli dotyczy): Zapewnienie kontroli nad kluczami szyfrowania dla kont magazynu
Powiązane zasoby
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure