Ensure storage for critical data are encrypted with Customer Managed Key
Por que Isso é Importante
O Armazenamento do Azure criptografa automaticamente todos os dados em repouso usando chaves gerenciadas pela Microsoft por padrão. No entanto, organizações que lidam com dados confidenciais ou regulamentados frequentemente precisam de controle granular sobre as chaves de criptografia para atender a requisitos de conformidade ou políticas de segurança internas. O uso de chaves gerenciadas pelo cliente (CMK) oferece a você autoridade total sobre o ciclo de vida, acesso e rotação das chaves, reduzindo o risco de acesso não autorizado aos dados caso o gerenciamento de chaves da Microsoft seja comprometido.
O que o Aether365 Verifica
O Aether365 verifica se cada conta de Armazenamento do Azure usada para dados críticos está configurada com criptografia usando uma chave gerenciada pelo cliente, em vez da chave gerenciada pela Microsoft padrão. Essa verificação aparece no painel do Aether365 sob a categoria azure-storage-accounts.
Como Corrigir
- Faça login no Azure portal e navegue até Storage Accounts.
- Selecione cada conta de armazenamento que requer criptografia com chave gerenciada pelo cliente.
- No menu à esquerda, vá para Encryption em Security + networking.
- Em Encryption type, escolha Customer-managed keys.
- Selecione ou crie uma chave do Azure Key Vault, configure o URI da chave e, opcionalmente, defina a rotação automática da versão da chave.
- Clique em Save para aplicar a configuração.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0: Seção 4.11 (Nível 2)
- Microsoft Security Benchmark: Controle de proteção de dados DP-1
- EIDSCA (se aplicável): Garantir controle de chave de criptografia para contas de armazenamento
Recursos Relacionados
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure