Ensure SQL server's Transparent Data Encryption (TDE) protector is encrypted with Customer-managed key
Чому це важливо
Прозоре шифрування даних (TDE) захищає ваші дані SQL у стані спокою, але коли ключ шифрування захищає лише сертифікат, керований службою, ви не маєте прозорості та контролю над тим, хто може отримати доступ до цього ключа. Використовуючи ключ, керований клієнтом і збережений у Azure Key Vault, ви забезпечуєте розподіл обов'язків, отримуєте повний контроль над ротацією ключів і політиками доступу, а також відповідаєте вимогам відповідності для конфіденційних або регульованих даних. Без цього контролю скомпрометований ключ рівня служби може відкрити доступ до всіх зашифрованих баз даних на цьому сервері.
Що перевіряє Aether365
Aether365 перевіряє, чи кожен Azure SQL Server має свій протектор TDE, зашифрований ключем, керованим клієнтом, збереженим у Azure Key Vault, а не сертифікатом, керованим службою. Ця перевірка відображається на вашій панелі керування Aether365 у розділі перевірок azure-sql-server.
Як виправити
- Відкрийте Azure Portal і перейдіть до сервера SQL, на якому розміщені бази даних, які ви хочете захистити.
- У лівому меню виберіть Transparent data encryption.
- Встановіть параметр TDE protector на Customer-managed key.
- Дотримуйтесь підказок, щоб вибрати наявний ключовий контейнер і ключ, або створити новий ключовий контейнер та імпортувати чи згенерувати ключ. Зверніть увагу, що ключовий контейнер має знаходитися в тому самому регіоні Azure, що й ваш сервер SQL.
- Підтвердьте конфігурацію та переконайтеся, що всі бази даних на цьому сервері тепер успадковують протектор ключа, керованого клієнтом.
- Налаштуйте графік ротації ключів та інструменти автоматизованого керування (наприклад, ротацію ключів Azure Key Vault або інструментарій вашого постачальника ключів) для підтримки постійної безпеки.
Відповідність стандартам
- CIS Microsoft Azure Foundations: 3.0.0 5.1.3 (Level 2)
- EIDSCA: Гарантує, що захист ключів шифрування даних відповідає корпоративним стандартам керування ключами