Ensure that VHDs are Encrypted
Prečo je to dôležité
Nešifrované VHD súbory uložené v Azure blob storage vystavujú citlivý obsah OS a dátových diskov riziku neoprávneného prístupu v prípade kompromitácie účtu úložiska. Hoci Microsoft odporúča spravované disky pre nové nasadenia, staršie VHD súbory sa naďalej používajú pre mnohé kritické pracovné záťaže a vyžadujú explicitné šifrovanie na splnenie požiadaviek na súlad a bezpečnosť. Ak tieto disky nezašifrujete, môže dôjsť k únikom údajov a nesúladu s normami, ako sú CIS a EIDSCA.
Čo kontroluje Aether365
Aether365 overuje, či sú vo vašich účtoch úložiska s VHD súbormi povolené šifrovanie, a to buď pomocou kľúčov spravovaných platformou (PMK) alebo kľúčov spravovaných zákazníkom (CMK). Táto kontrola sa zobrazuje na vašom paneli Aether365 v skupine kontrol azure-azure-disks.
Ako to opraviť
- Prejdite do Azure Portal a vyberte Storage accounts.
- Vyberte účet úložiska, ktorý obsahuje nešifrované VHD súbory.
- V časti Security + networking vyberte Encryption.
- Povoľte šifrovanie pomocou Platform-managed keys alebo Customer-managed keys podľa úrovne vyspelosti správy kľúčov.
- Ak používate kľúče spravované zákazníkom, nakonfigurujte trezor kľúčov a nastavte politiky rotácie kľúčov.
- Aplikujte zmenu šifrovania a overte, že všetky VHD blob súbory sú teraz zašifrované.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 – Časť 8.9 (Úroveň 2)
- EIDSCA – Kontroly šifrovania úložiska
- CISA – Základné cloudové bezpečnostné požiadavky pre Azure Storage