Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Prečo je to dôležité
Transparent Data Encryption (TDE) chráni vaše SQL dáta v kľudovom stave, ale ak ochranu šifrovacieho kľúča zabezpečuje iba certifikát spravovaný službou, strácate prehľad a kontrolu nad tým, kto má k tomuto kľúču prístup. Použitím zákazníkom spravovaného kľúča uloženého v Azure Key Vault presadzujete oddelenie povinností, získavate plnú kontrolu nad rotáciou kľúčov a prístupovými politikami a spĺňate požiadavky na súlad pre citlivé alebo regulované údaje. Bez tejto kontroly by kompromitovaný kľúč na úrovni služby mohol odhaliť všetky šifrované databázy pod daným serverom.
Čo kontroluje Aether365
Aether365 overuje, či je ochrana TDE každého Azure SQL Servera šifrovaná zákazníkom spravovaným kľúčom uloženým v Azure Key Vault, a nie certifikátom spravovaným službou. Táto kontrola sa zobrazuje vo vašom dashboarde Aether365 v sekcii azure-sql-server.
Ako to opraviť
- Otvorte Azure Portal a prejdite na SQL server, ktorý hostí databázy, ktoré chcete chrániť.
- V ľavom menu vyberte Transparent data encryption.
- Nastavte možnosť TDE protector na Customer-managed key.
- Postupujte podľa pokynov na výber existujúceho trezoru kľúčov a kľúča, alebo vytvorte nový trezor kľúčov a importujte či vygenerujte kľúč. Upozorňujeme, že trezor kľúčov musí byť v rovnakej oblasti Azure ako váš SQL server.
- Potvrďte konfiguráciu a overte, že všetky databázy pod týmto serverom teraz dedia ochranu zákazníkom spravovaným kľúčom.
- Nastavte plán rotácie kľúčov a automatizované nástroje na správu (napríklad Azure Key Vault key rotation alebo nástroje vášho poskytovateľa kľúčov) na udržanie priebežnej bezpečnosti.
Súlad s predpismi
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Level 2)
- EIDSCA: Zabezpečuje, že ochrana šifrovacích kľúčov údajov je v súlade s podnikovými štandardmi správy kľúčov