Ensure storage for critical data are encrypted with Customer Managed Key
De ce este Important
Azure Storage criptează automat toate datele în repaus cu ajutorul cheilor gestionate de Microsoft în mod implicit. Cu toate acestea, organizațiile care manipulează date sensibile sau reglementate necesită adesea un control granular asupra cheilor de criptare pentru a respecta cerințele de conformitate sau politicile interne de securitate. Utilizarea cheilor gestionate de client (CMK) vă oferă autoritate deplină asupra ciclului de viață, accesului și rotației cheilor, reducând riscul accesului neautorizat la date în cazul în care gestionarea cheilor Microsoft este compromisă.
Ce Verifică Aether365
Aether365 verifică dacă fiecare cont Azure Storage utilizat pentru date critice are criptarea configurată cu o cheie gestionată de client în locul cheii gestionate de Microsoft implicite. Această verificare apare în tabloul de bord Aether365 sub categoria azure-storage-accounts.
Cum se Rezolvă
- Conectați-vă la Azure Portal și navigați la Storage Accounts.
- Selectați fiecare cont de stocare care necesită criptare cu cheie gestionată de client.
- În meniul din stânga, accesați Encryption sub Security + networking.
- Pentru Encryption type, alegeți Customer-managed keys.
- Selectați sau creați o cheie în Azure Key Vault, apoi configurați URI-ul cheii și, opțional, activați rotația automată a versiunii cheii.
- Faceți clic pe Save pentru a aplica configurația.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0: Secțiunea 4.11 (Nivel 2)
- Microsoft Security Benchmark: Controlul protecției datelor DP-1
- EIDSCA (dacă este cazul): Asigurați controlul cheii de criptare pentru conturile de stocare
Resurse Conexe
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure