Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)

Защо това е важно

Шифроването на OS и дискове с данни чрез Customer Managed Keys (CMK) ви дава контрол над ключовете за шифроване, вместо да разчитате на стандартните Platform Managed Keys (PMK) на Azure. Без CMK данните ви остават уязвими, ако ключовете на Microsoft бъдат компрометирани, и не можете самостоятелно да ротирате или деактивирате ключовете. За данни с висок риск CMK предоставя допълнителен съществен слой на сигурност, който предотвратява неоторизирано възстановяване на данни от отделени дискове.

Какво проверява Aether365

Aether365 проверява дали всички OS и дискове с данни, прикачени към виртуални машини в абонамента ви за Azure, са шифровани с Customer Managed Keys (CMK). Тази проверка се появява в таблото на Aether365 под секцията azure-azure-virtual-machines.

Как да отстраните проблема

Важна забележка: Дисковете трябва да бъдат отделени от техните виртуални машини, преди да можете да промените настройките за шифроване.

1. Влезте в Azure portal и отидете на Virtual machines.
2. Изберете всяка виртуална машина, след което отидете на Settings и кликнете върху Disks.
3. Кликнете върху X до OS диска или диска с данни, за да го отделите от виртуалната машина.
4. В лентата за търсене на Azure напишете Disks и намерете отделения диск.
5. Кликнете върху името на диска, след което изберете Encryption от лявото меню.
6. Променете типа шифроване на Customer Managed Key и изберете вашия комплект за шифроване от Azure Key Vault.
7. Кликнете върху Save, за да приложите промяната на шифроването.
8. Върнете се към оригиналната виртуална машина и прикачете отново диска в настройките за Disks.

Съответствие

• CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
• EIDSCA: Отнася се до контролите за защита на данни
• CISA: Референтен стандарт за сигурна конфигурация в облака

Свързани ресурси

• Azure Disk Encryption за виртуални машини и мащабни групи
• Преглед на шифроването на дискове в Security Center
• Най-добри практики за шифроване на данни в покой
• Активиране на Customer Managed Keys с PowerShell

Microsoft references

• Azure disk encryption vms vmss
• Security center disk encryption
• Data encryption best practices
• Disk encryption portal quickstart
• Delete
• Update
• Security controls v2 data protection
• Disks enable customer managed keys powershell