Ensure that VHDs are Encrypted
Varför detta är viktigt
Okrypterade VHD:er som lagras i Azure-bloblagring exponerar känsliga OS- och diskinnehåll för potentiell obehörig åtkomst om lagringskontot äventyras. Även om Microsoft rekommenderar hanterade diskar för nya distributioner, används fortfarande äldre VHD:er för många kritiska arbetsbelastningar och kräver explicit kryptering för att uppfylla regelefterlevnad och säkerhetskrav. Att inte kryptera dessa diskar kan leda till dataintrång och bristande efterlevnad av standarder som CIS och EIDSCA.
Vad Aether365 kontrollerar
Aether365 verifierar att dina lagringskonton som innehåller VHD:er har kryptering aktiverad, antingen med plattforms hanterade nycklar (PMK) eller kund hanterade nycklar (CMK). Denna kontroll visas i din Aether365-instrumentpanel under kontrollgruppen azure-azure-disks.
Så här åtgärdar du
- Navigera till Azure Portal och välj Storage accounts.
- Välj det lagringskonto som innehåller okrypterade VHD:er.
- Under Security + networking väljer du Encryption.
- Aktivera kryptering med Platform-managed keys eller Customer-managed keys beroende på din mognadsgrad för nyckelhantering.
- Om du använder kund hanterade nyckler konfigurerar du ett nyckelvalv och ställer in principer för nyckelrotation.
- Tillämpa krypteringsändringen och verifiera att alla VHD-blobbar nu är krypterade.
Regelefterlevnad
- CIS Microsoft Azure Foundations 3.0.0 – Avsnitt 8.9 (Nivå 2)
- EIDSCA – Kontroller för lagringskryptering
- CISA – Cloud-säkerhetsbaslinje för Azure Storage