Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Hvorfor det er vigtigt
Ikke-tilsluttede diske, der kun er krypteret med platformadministrerede nøgler, forbliver sårbare over for uautoriseret adgang, hvis en kompromitteret administratorkonto monterer disken. Uden en kundeadministreret nøgle kan hele diskens indhold genskabes, hvilket potentielt kan eksponere følsomme data. Brug af CMK giver et ekstra adgangskontrollag og hjælper med at opfylde lovmæssige krav om nøgleejerskab og -styring.
Hvad Aether365 kontrollerer
Aether365 verificerer, at hver ikke-tilsluttet administreret disk i dit Azure-abonnement er krypteret med en kundeadministreret nøgle (CMK). Denne kontrol vises i Aether365-dashboardet under overholdelseskontrollerne azure-azure-disks.
Sådan rettes det
- Identificer alle ikke-tilsluttede diske i dit abonnement. Du kan bruge Azure Portal, Azure CLI eller PowerShell til at liste diske med egenskaben
diskStatesat til "Unattached". - For hver ikke-tilsluttet disk, der indeholder vigtige data, skal du kryptere den med en kundeadministreret nøgle. Brug Azure Portal under "Disks" > "Encryption" til at vælge en nøgle fra dit Azure Key Vault. Alternativt kan du bruge Azure CLI-kommandoen
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - For ikke-tilsluttede diske uden vigtige data skal du slette dem for at reducere risiko og omkostninger. Brug Azure Portal-indstillingen "Delete" eller CLI-kommandoen
az disk delete --name <disk-name> --resource-group <resource-group>.
Overholdelse
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Relaterede ressourcer
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings