Ensure that VHDs are Encrypted
Чому це важливо
Незшифровані VHD-диски, які зберігаються в Azure Blob Storage, наражають на ризик несанкціонованого доступу до конфіденційних даних ОС і дисків у разі компрометації облікового запису зберігання. Хоча Microsoft рекомендує використовувати керовані диски для нових розгортань, застарілі VHD-диски все ще використовуються в багатьох критичних робочих навантаженнях і потребують явного шифрування для дотримання вимог безпеки та відповідності нормам. Відсутність шифрування цих дисків може призвести до витоків даних і невідповідності стандартам, як-от CIS та EIDSCA.
Що перевіряє Aether365
Aether365 перевіряє, чи облікові записи зберігання, що містять VHD-диски, мають увімкнене шифрування – з використанням керованих платформою ключів (PMK) або керованих клієнтом ключів (CMK). Ця перевірка відображається на панелі Aether365 у групі перевірок azure-azure-disks.
Як виправити
- Перейдіть до Azure Portal та виберіть Storage accounts.
- Виберіть обліковий запис зберігання, який містить незшифровані VHD-диски.
- У розділі Security + networking виберіть Encryption.
- Увімкніть шифрування за допомогою Platform-managed keys або Customer-managed keys відповідно до рівня зрілості вашого управління ключами.
- Якщо використовуються ключі, керовані клієнтом, налаштуйте сховище ключів (key vault) та політики ротації ключів.
- Застосуйте зміну шифрування та переконайтеся, що всі VHD-блоки тепер зашифровані.
Відповідність нормам
- CIS Microsoft Azure Foundations 3.0.0 – Розділ 8.9 (Рівень 2)
- EIDSCA – Контроль шифрування сховищ
- CISA – Базова лінія хмарної безпеки для Azure Storage