Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Varför Detta är Viktigt
Transparent Data Encryption (TDE) skyddar din SQL-data i vila, men när endast ett tjänstehanterat certifikat skyddar krypteringsnyckeln saknar du insyn i och kontroll över vem som kan komma åt den nyckeln. Genom att använda en kundhanterad nyckel som lagras i Azure Key Vault inför du ansvarsseparation, får full kontroll över nyckelrotation och åtkomstprinciper, och uppfyller efterlevnadskrav för känsliga eller reglerade data. Utan denna kontroll skulle en komprometterad tjänstenivånyckel kunna exponera alla krypterade databaser under den servern.
Vad Aether365 Kontrollerar
Aether365 verifierar att varje Azure SQL-server har sin TDE-skyddare krypterad med en kundhanterad nyckel som lagras i Azure Key Vault, inte med ett tjänstehanterat certifikat. Denna kontroll visas i din Aether365-instrumentpanel under avsnittet azure-sql-server för kontroller.
Åtgärda Problem
- Öppna Azure Portal och navigera till SQL-servern som är värd för de databaser du vill skydda.
- Välj Transparent data encryption i den vänstra menyn.
- Ställ in alternativet TDE protector på Customer-managed key.
- Följ anvisningarna för att välja ett befintligt nyckelvalv och en nyckel, eller skapa ett nytt nyckelvalv och importera eller generera en nyckel. Observera att nyckelvalvet måste finnas i samma Azure-region som din SQL-server.
- Bekräfta konfigurationen och verifiera att alla databaser under servern nu ärver den kundhanterade nyckelskyddaren.
- Skapa ett schema för nyckelrotation och automatiserade hanteringsverktyg (till exempel Azure Key Vault nyckelrotation eller din nyckelleverantörs verktyg) för att bibehålla löpande säkerhet.
Efterlevnad
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Nivå 2)
- EIDSCA: Säkerställer att krypteringsnyckelskydd för data överensstämmer med företagens nyckelhanteringsstandarder