Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Varför detta är viktigt
Att kryptera aktivitetsloggar med Customer Managed Keys (CMK) ger dig direkt kontroll över krypteringsnycklarna för regelefterlevnad och säkerhet. Utan CMK hanteras nycklarna som standard av Microsoft, vilket begränsar din möjlighet att genomdriva anpassade dataskyddsprinciper eller återkalla åtkomst om en incident inträffar. Denna kontroll säkerställer att du har exklusiv auktoritet över din granskningsloggskryptering, vilket minskar risken från exponering av tredjepartsnycklar.
Vad Aether365 kontrollerar
Aether365 verifierar att lagringskontot som används för export av aktivitetsloggar är krypterat med en Customer Managed Key istället för standardnyckeln som hanteras av Microsoft. Denna kontroll visas i din instrumentpanel under azure-diagnostic-settings-kontrollerna och identifierar felkonfigurationer som lämnar kritisk loggdata mindre skyddad.
Åtgärd
- Öppna Azure Portal och gå till Monitor.
- Välj Activity log och därefter Export Activity Logs.
- Välj den prenumeration du vill konfigurera och notera namnet på lagringskontot som används för dess diagnostikinställning.
- Navigera till Storage accounts och klicka på det noterade lagringskontot.
- Under Security + networking väljer du Encryption.
- För Encryption type väljer du Customer-managed keys.
- Följ anvisningarna på skärmen för att konfigurera nyckeln från ditt Key Vault, inklusive att välja nyckeln och ställa in dess behörigheter.
Regelefterlevnad
- CIS Microsoft Azure Foundations 3.0.0: Avsnitt 6.1.3 (Nivå 2)
- EIDSCA: Azure Storage dataskydd
Relaterade resurser
- Microsoft Learn: Använda alternativet customer-managed key i kryptering av vilande data
- Microsoft Learn: Export av aktivitetslogg och äldre loggprofiler