Ensure that VHDs are Encrypted
Zakaj je to pomembno
Nešifrirane VHD-ji, shranjeni v Azure blob shrambi, izpostavljajo občutljive vsebine OS in podatkovnih diskov morebitnemu nepooblaščenemu dostopu, če je shrambeni račun ogrožen. Microsoft priporoča uporabo upravljanih diskov za nove uvedbe, vendar so starejši VHD-ji še vedno v uporabi za številne kritične delovne obremenitve in zahtevajo izrecno šifriranje, da se izpolnijo zahteve glede skladnosti in varnosti. Neuspešno šifriranje teh diskov lahko povzroči kršitve podatkov in neskladnost s standardi, kot sta CIS in EIDSCA.
Kaj preverja Aether365
Aether365 preveri, ali imajo vaši shrambeni računi, ki vsebujejo VHD-je, omogočeno šifriranje, bodisi s ključi, ki jih upravlja platforma (PMK), bodisi s ključi, ki jih upravlja stranka (CMK). To preverjanje se pojavi v vaši nadzorni plošči Aether365 pod skupino preverjanj azure-azure-disks.
Kako odpraviti težavo
- Odprite Azure Portal in izberite Storage accounts.
- Izberite shrambeni račun, ki vsebuje nešifrirane VHD-je.
- Pod Security + networking izberite Encryption.
- Omogočite šifriranje z uporabo Platform-managed keys ali Customer-managed keys, glede na vašo zrelost upravljanja ključev.
- Če uporabljate ključe, ki jih upravlja stranka, konfigurirajte key vault in nastavite pravilnike za rotacijo ključev.
- Uveljavite spremembo šifriranja in preverite, da so vsi VHD blobi zdaj šifrirani.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0 – Oddelek 8.9 (Raven 2)
- EIDSCA – Kontrole šifriranja shrambe
- CISA – Varnostna osnova za Azure Storage v oblaku