Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Защо това е важно
Неприкачените дискове, криптирани само с управлявани от платформата ключове, остават уязвими за неоторизиран достъп, ако компрометиран административен акаунт монтира диска. Без управляван от клиента ключ цялото съдържание на диска може да бъде възстановено, което потенциално води до изтичане на чувствителни данни. Използването на CMK осигурява допълнителен слой за контрол на достъпа и помага за изпълнение на регулаторните изисквания за собственост и управление на ключове.
Какво проверява Aether365
Aether365 проверява дали всеки неприкачен управляван диск във вашия Azure абонамент е криптиран с управляван от клиента ключ (CMK). Тази проверка се показва в таблото Aether365 под секцията за проверки на съответствието azure-azure-disks.
Как да коригирате
- Идентифицирайте всички неприкачени дискове във вашия абонамент. Можете да използвате Azure Portal, Azure CLI или PowerShell, за да изброите дисковете с параметъра
diskState, зададен на "Unattached". - За всеки неприкачен диск, съдържащ важни данни, го криптирайте с управляван от клиента ключ. Използвайте Azure Portal, като отидете на "Disks" > "Encryption", за да изберете ключ от вашия Azure Key Vault. Като алтернатива използвайте командата Azure CLI
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - За неприкачени дискове без важни данни ги изтрийте, за да намалите риска и разходите. Използвайте опцията "Delete" в Azure Portal или командата
az disk delete --name <disk-name> --resource-group <resource-group>в CLI.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Свързани ресурси
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings