Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Zakaj je to pomembno
Transparent Data Encryption (TDE) ščiti vaše SQL podatke v mirovanju, vendar kadar samo storitveno upravljan certifikat varuje šifrirni ključ, nimate pregleda in nadzora nad tem, kdo lahko dostopa do tega ključa. Z uporabo ključa, ki ga upravlja stranka in je shranjen v Azure Key Vault, zagotovite ločitev nalog, pridobite popoln nadzor nad rotacijo ključev in politikami dostopa ter izpolnite zahteve glede skladnosti za občutljive ali regulirane podatke. Brez tega nadzora bi lahko ogrožen storitveni ključ izpostavil vse šifrirane podatkovne baze pod tem strežnikom.
Kaj preverja Aether365
Aether365 preveri, ali ima vsak Azure SQL Server zaščito TDE s ključem, ki ga upravlja stranka in je shranjen v Azure Key Vault, in ne s storitveno upravljanim certifikatom. To preverjanje je prikazano v vaši nadzorni plošči Aether365 pod razdelkom preverjanj azure-sql-server.
Kako odpraviti težavo
- Odprite Azure Portal in pojdite na SQL strežnik, ki gosti podatkovne baze, ki jih želite zaščititi.
- V levem meniju izberite Transparent data encryption.
- Nastavite možnost TDE protector na Customer-managed key.
- Sledite pozivom za izbiro obstoječega ključnega trezorja in ključa ali ustvarite nov ključni trezor ter uvozite ali ustvarite ključ. Upoštevajte, da mora biti ključni trezor v isti Azure regiji kot vaš SQL strežnik.
- Potrdite konfiguracijo in preverite, da vse podatkovne baze pod tem strežnikom zdaj podedujejo zaščito s ključem, ki ga upravlja stranka.
- Nastavite urnik rotacije ključev in orodja za avtomatizirano upravljanje (kot so Azure Key Vault rotacija ključev ali orodja vašega ponudnika ključev) za vzdrževanje stalne varnosti.
Skladnost
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (raven 2)
- EIDSCA: Zagotavlja, da je zaščita ključev za šifriranje podatkov usklajena s standardi upravljanja ključev v podjetju