Ensure that VHDs are Encrypted
Por Que Isso é Importante
VHDs não criptografados armazenados no Azure blob storage expõem o conteúdo confidencial do sistema operacional e dos discos de dados a possíveis acessos não autorizados caso a conta de armazenamento seja comprometida. Embora a Microsoft recomende o uso de managed disks para novas implantações, VHDs legados ainda são utilizados por muitas cargas de trabalho críticas e exigem criptografia explícita para atender aos requisitos de conformidade e segurança. A falha em criptografar esses discos pode resultar em violações de dados e não conformidade com padrões como CIS e EIDSCA.
O Que o Aether365 Verifica
O Aether365 verifica se suas contas de armazenamento que contêm VHDs têm a criptografia ativada, seja com chaves gerenciadas pela plataforma (PMK) ou chaves gerenciadas pelo cliente (CMK). Essa verificação aparece no painel do Aether365 no grupo de verificações azure-azure-disks.
Como Corrigir
- Navegue até o Azure Portal e selecione Storage accounts.
- Escolha a conta de armazenamento que contém VHDs não criptografados.
- Em Security + networking, selecione Encryption.
- Ative a criptografia usando Platform-managed keys ou Customer-managed keys, conforme apropriado para a maturidade de seu gerenciamento de chaves.
- Se usar chaves gerenciadas pelo cliente, configure um key vault e defina políticas de rotação de chaves.
- Aplique a alteração de criptografia e verifique se todos os blobs VHD agora estão criptografados.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 – Seção 8.9 (Nível 2)
- EIDSCA – Controles de criptografia de armazenamento
- CISA – Baseline de segurança em nuvem para Azure Storage