Ensure storage for critical data are encrypted with Customer Managed Key
Чому це важливо
Azure Storage за замовчуванням автоматично шифрує всі дані у стані спокою за допомогою ключів, керованих Microsoft. Однак організації, які працюють з конфіденційними або регульованими даними, часто потребують детального контролю над ключами шифрування для відповідності нормативним вимогам або внутрішнім політикам безпеки. Використання керованих клієнтом ключів (CMK) надає вам повний контроль над життєвим циклом ключів, доступом до них і їх ротацією, що знижує ризик несанкціонованого доступу до даних у разі компрометації системи керування ключами Microsoft.
Що перевіряє Aether365
Aether365 перевіряє, чи налаштовано шифрування з використанням керованого клієнтом ключа (CMK) замість стандартного Microsoft-ключа для кожного облікового запису Azure Storage, що використовується для критичних даних. Ця перевірка відображається у вашій панелі керування Aether365 у категорії azure-storage-accounts.
Як виправити
- Увійдіть на портал Azure (Azure Portal) та перейдіть до Storage Accounts.
- Виберіть кожен обліковий запис сховища, який потребує шифрування з керованим клієнтом ключем.
- У лівому меню перейдіть до Encryption у розділі Security + networking.
- Для Encryption type виберіть Customer-managed keys.
- Виберіть або створіть ключ в Azure Key Vault, вкажіть URI ключа та за потреби налаштуйте автоматичну ротацію версії ключа.
- Натисніть Save, щоб застосувати налаштування.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0: Розділ 4.11 (Рівень 2)
- Microsoft Security Benchmark: Засіб контролю захисту даних DP-1
- EIDSCA (якщо застосовно): Забезпечити контроль ключів шифрування для облікових записів сховища
Пов'язані ресурси
- Azure Storage encryption for data at rest
- Azure data encryption best practices
- Azure Storage encryption versus disk encryption
- Data protection controls in Azure