Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Proč na tom záleží
Neodpojené disky, které jsou šifrovány pouze pomocí klíčů spravovaných platformou, zůstávají zranitelné vůči neoprávněnému přístupu v případě, že ohrožený administrativní účet disk připojí. Bez klíče spravovaného zákazníkem by mohla být obnovena celá data disku, což by mohlo vystavit citlivá data. Použití CMK poskytuje další vrstvu kontroly přístupu a pomáhá splnit regulační požadavky na vlastnictví a správu klíčů.
Co Aether365 kontroluje
Aether365 ověřuje, že každý neodpojený spravovaný disk ve vašem předplatném Azure je šifrován pomocí klíče spravovaného zákazníkem (CMK). Tato kontrola se zobrazuje na řídicím panelu Aether365 v rámci kontrol shody azure-azure-disks.
Jak to opravit
- Identifikujte všechny neodpojené disky ve vašem předplatném. Můžete použít Azure Portal, Azure CLI nebo PowerShell k výpisu disků s vlastností
diskStatenastavenou na "Unattached". - U každého neodpojeného disku, který obsahuje důležitá data, jej zašifrujte pomocí klíče spravovaného zákazníkem. Použijte Azure Portal v části "Disks" > "Encryption" k výběru klíče z vašeho Azure Key Vault. Alternativně použijte příkaz Azure CLI
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Neodpojené disky bez důležitých dat odstraňte, abyste snížili riziko a náklady. Použijte možnost "Delete" v Azure Portal nebo příkaz CLI
az disk delete --name <disk-name> --resource-group <resource-group>.
Shoda s předpisy
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Související zdroje
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings