Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Zakaj je to pomembno
Šifriranje dnevnikov aktivnosti z uporabniško upravljanimi ključi (CMK) vam omogoča neposreden nadzor nad šifrirnimi ključi za skladnost in varnost. Brez CMK Microsoft privzeto upravlja ključe, kar omejuje vašo zmožnost uveljavljanja prilagojenih pravilnikov za zaščito podatkov ali preklica dostopa v primeru kršitve. To preverjanje zagotavlja, da imate izključno avtoriteto nad šifriranjem revizijskih dnevnikov, kar zmanjšuje tveganje zaradi izpostavljenosti ključev tretjim osebam.
Kaj preverja Aether365
Aether365 preveri, ali je shranjevalni račun, uporabljen za izvoz dnevnikov aktivnosti, šifriran z uporabniško upravljanim ključem namesto privzetega Microsoftovega ključa. To preverjanje se prikaže na vaši nadzorni plošči pod preverjanji azure-diagnostic-settings, kjer so prepoznane napačne konfiguracije, ki puščajo kritične podatke dnevnikov manj zaščitene.
Kako odpraviti težavo
- Odprite Azure Portal in pojdite na Monitor.
- Izberite Activity log, nato pa Export Activity Logs.
- Izberite naročnino, ki jo želite konfigurirati, in si zabeležite ime shranjevalnega računa, uporabljenega za njeno diagnostično nastavitev.
- Pomaknite se do Storage accounts, kliknite na zabeleženi shranjevalni račun.
- Pod Security + networking izberite Encryption.
- Za Encryption type izberite Customer-managed keys.
- Sledite navodilom na zaslonu za konfiguracijo ključa iz vašega Key Vault, vključno z izbiro ključa in nastavitvijo njegovih dovoljenj.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0: Oddelek 6.1.3 (Raven 2)
- EIDSCA: Azure Storage data protection
Povezani viri
- Microsoft Learn: Uporaba možnosti uporabniško upravljanega ključa pri šifriranju podatkov v mirovanju
- Microsoft Learn: Izvoz dnevnikov aktivnosti in stari profili dnevnikov