Ensure the storage account containing the container with activity logs is encrypted with Customer Managed Key (CMK)
Чому це важливо
Шифрування журналів активності за допомогою ключів, керованих клієнтом (CMK), надає вам прямий контроль над ключами шифрування для забезпечення відповідності вимогам та безпеки. Без CMK Microsoft за замовчуванням керує ключами, що обмежує ваші можливості застосовувати власні політики захисту даних або відкликати доступ у разі витоку. Ця перевірка гарантує, що ви маєте винятковий контроль над шифруванням журналів аудиту, знижуючи ризик, пов'язаний із доступом третіх сторін до ключів.
Що перевіряє Aether365
Aether365 перевіряє, чи обліковий запис сховища, що використовується для експорту журналів активності, зашифрований за допомогою ключа, керованого клієнтом, а не стандартного ключа, керованого Microsoft. Ця перевірка відображається на вашій інформаційній панелі в розділі перевірок azure-diagnostic-settings, виявляючи неправильні налаштування, які залишають критичні журнали даних менш захищеними.
Як виправити
- Відкрийте Azure Portal і перейдіть до Monitor.
- Виберіть Activity log, а потім Export Activity Logs.
- Виберіть підписку, яку потрібно налаштувати, і запам'ятайте назву облікового запису сховища, що використовується для її налаштувань діагностики.
- Перейдіть до Storage accounts, натисніть на зазначений обліковий запис сховища.
- У розділі Security + networking виберіть Encryption.
- Для Encryption type виберіть Customer-managed keys.
- Виконайте покрокові інструкції на екрані для налаштування ключа з вашого Key Vault, включно з вибором ключа та налаштуванням його дозволів.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0: Розділ 6.1.3 (Рівень 2)
- EIDSCA: Захист даних у Azure Storage
Пов'язані ресурси
- Microsoft Learn: Використання ключа, керованого клієнтом, у шифруванні даних у стані спокою
- Microsoft Learn: Експорт журналу активності та застарілі профілі журналів