Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Prečo je to dôležité
Šifrovanie protokolov aktivít pomocou Customer Managed Keys (CMK) vám poskytuje priamu kontrolu nad šifrovacími kľúčmi pre účely súladu a bezpečnosti. Bez CMK spravuje kľúče predvolene spoločnosť Microsoft, čo obmedzuje vašu schopnosť vynucovať vlastné zásady ochrany údajov alebo zrušiť prístup v prípade narušenia. Táto kontrola zaisťuje, že máte výhradnú autoritu nad šifrovaním audítorského protokolu, čím sa znižuje riziko vyplývajúce z vystavenia kľúčov tretej strane.
Čo kontroluje Aether365
Aether365 overuje, či je účet úložiska používaný na export protokolu aktivít zašifrovaný pomocou Customer Managed Key namiesto predvoleného kľúča spravovaného spoločnosťou Microsoft. Táto kontrola sa zobrazuje na vašom paneli pod položkou azure-diagnostic-settings, pričom identifikuje nesprávne konfigurácie, ktoré ponechávajú kritické údaje protokolu menej chránené.
Ako to opraviť
- Otvorte Azure Portal a prejdite na Monitor.
- Vyberte Activity log a potom zvoľte Export Activity Logs.
- Vyberte predplatné, ktoré chcete nakonfigurovať, a poznačte si názov účtu úložiska použitého pre jeho diagnostické nastavenie.
- Prejdite na Storage accounts a kliknite na poznačený účet úložiska.
- V časti Security + networking vyberte Encryption.
- Pre Encryption type zvoľte Customer-managed keys.
- Postupujte podľa pokynov na obrazovke a nakonfigurujte kľúč z vášho Key Vault vrátane výberu kľúča a nastavenia jeho povolení.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0: Sekcia 6.1.3 (Úroveň 2)
- EIDSCA: Ochrana údajov Azure Storage
Súvisiace zdroje
- Microsoft Learn: Použitie možnosti kľúča spravovaného zákazníkom pri šifrovaní neaktívnych údajov
- Microsoft Learn: Export protokolu aktivít a staršie profily protokolov