Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Proč na tom záleží
Šifrování operačního systému a datových disků pomocí klíčů spravovaných zákazníkem (CMK) vám dává kontrolu nad šifrovacími klíči namísto spoléhání se na výchozí klíče spravované platformou Azure (PMK). Bez CMK zůstávají vaše data zranitelná v případě kompromitace klíčů Microsoftu a nemůžete klíče samostatně otáčet ani deaktivovat. U vysoce rizikových dat poskytuje CMK zásadní dodatečnou bezpečnostní vrstvu, která zabraňuje neoprávněnému obnovení dat z odpojených disků.
Co Aether365 kontroluje
Aether365 ověřuje, že všechny operační systémy a datové disky připojené k virtuálním počítačům v rámci vašeho předplatného Azure jsou zašifrovány pomocí klíčů spravovaných zákazníkem (CMK). Tato kontrola se zobrazuje na řídicím panelu Aether365 v sekci azure-azure-virtual-machines.
Jak opravit
Důležité upozornění: Disky musí být odpojeny od svých virtuálních počítačů, než budete moci změnit nastavení šifrování.
- Přihlaste se do portálu Azure a přejděte do Virtual machines.
- Vyberte každý virtuální počítač, poté přejděte do Settings a klikněte na Disks.
- Kliknutím na X vedle disku OS nebo datového disku jej odpojte od virtuálního počítače.
- Do vyhledávacího pole Azure zadejte Disks a vyhledejte odpojený disk.
- Klikněte na název disku a poté v levé nabídce vyberte Encryption.
- Změňte typ šifrování na Customer Managed Key a vyberte svou šifrovací sadu z trezoru klíčů Azure.
- Kliknutím na Save aplikujte změnu šifrování.
- Vraťte se k původnímu virtuálnímu počítači a znovu připojte disk v nastavení Disks.
Shoda s předpisy
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Související s kontrolami ochrany dat
- CISA: Reference pro bezpečnou konfiguraci cloudu
Související zdroje
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell