Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key

Por Que Isto é Importante

O Transparent Data Encryption (TDE) protege seus dados SQL em repouso, mas quando apenas um certificado gerenciado pelo serviço protege a chave de criptografia, você não tem visibilidade nem controle sobre quem pode acessar essa chave. Ao usar uma chave gerenciada pelo cliente armazenada no Azure Key Vault, você impõe segregação de funções, obtém controle total sobre a rotação de chaves e políticas de acesso, e atende a requisitos de conformidade para dados confidenciais ou regulamentados. Sem esse controle, uma chave comprometida em nível de serviço poderia expor todos os bancos de dados criptografados sob esse servidor.

O Que o Aether365 Verifica

O Aether365 verifica se cada Azure SQL Server tem seu protetor TDE criptografado com uma chave gerenciada pelo cliente armazenada no Azure Key Vault, e não com um certificado gerenciado pelo serviço. Essa verificação aparece no painel do Aether365 na seção de verificações azure-sql-server.

Como Corrigir

  1. Abra o portal do Azure e navegue até o servidor SQL que hospeda os bancos de dados que você deseja proteger.
  2. No menu à esquerda, selecione Transparent data encryption.
  3. Defina a opção TDE protector como Customer-managed key.
  4. Siga as instruções para selecionar um cofre de chaves e chave existentes, ou crie um novo cofre de chaves e importe ou gere uma chave. Observe que o cofre de chaves deve estar na mesma região do Azure que seu servidor SQL.
  5. Confirme a configuração e verifique se todos os bancos de dados sob esse servidor agora herdam o protetor de chave gerenciada pelo cliente.
  6. Configure um cronograma de rotação de chaves e ferramentas de gerenciamento automatizadas (como a rotação de chaves do Azure Key Vault ou o conjunto de ferramentas do seu provedor de chaves) para manter a segurança contínua.

Conformidade

  • CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Nível 2)
  • EIDSCA: Garante que a proteção da chave de criptografia de dados esteja alinhada com os padrões empresariais de gerenciamento de chaves

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.