Ensure that VHDs are Encrypted
De ce este important
VHD-urile necriptate stocate în blob storage din Azure expun conținutul sensibil al sistemelor de operare și al discurilor de date la posibile accesări neautorizate în cazul în care contul de stocare este compromis. Deși Microsoft recomandă discurile gestionate pentru noile implementări, VHD-urile moștenite rămân utilizate pentru multe sarcini critice și necesită criptare explicită pentru a respecta cerințele de conformitate și securitate. Nerespectarea criptării acestor discuri poate duce la încălcări ale securității datelor și la neconformitate cu standarde precum CIS și EIDSCA.
Ce verifică Aether365
Aether365 verifică dacă conturile dvs. de stocare care conțin VHD-uri au criptarea activată, fie cu chei gestionate de platformă (PMK), fie cu chei gestionate de client (CMK). Această verificare apare în tabloul de bord Aether365 sub grupul de verificări azure-azure-disks.
Cum să remediați
- Navigați la Azure Portal și selectați Storage accounts.
- Alegeți contul de stocare care conține VHD-uri necriptate.
- Sub Security + networking, selectați Encryption.
- Activați criptarea folosind Platform-managed keys sau Customer-managed keys în funcție de nivelul de maturitate al gestionării cheilor.
- Dacă utilizați chei gestionate de client, configurați un key vault și stabiliți politici de rotație a cheilor.
- Aplicați modificarea de criptare și verificați că toate blocurile VHD sunt acum criptate.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 – Secțiunea 8.9 (Nivel 2)
- EIDSCA – Controale de criptare pentru stocare
- CISA – Linie de bază pentru securitatea cloud pentru Azure Storage