Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Hvorfor det er vigtigt
Kryptering af OS- og datadiske med kundeadministrerede nøgler (Customer Managed Keys, CMK) giver dig kontrol over krypteringsnøglerne i stedet for at stole på Azures standard platformadministrerede nøgler (Platform Managed Keys, PMK). Uden CMK forbliver dine data sårbare, hvis Microsofts nøgler kompromitteres, og du kan ikke rotere eller deaktivere nøgler uafhængigt. For data med høj risiko giver CMK et vigtigt ekstra sikkerhedslag for at forhindre uautoriseret datagendannelse fra frakoblede diske.
Hvad Aether365 kontrollerer
Aether365 verificerer, at alle OS- og datadiske tilknyttet virtuelle maskiner i dit Azure-abonnement er krypteret med kundeadministrerede nøgler (Customer Managed Keys, CMK). Denne kontrol vises i Aether365-dashboardet under sektionen azure-azure-virtual-machines.
Sådan løser du det
Vigtig bemærkning: Diske skal frakobles deres VM'er, før du kan ændre krypteringsindstillingerne.
- Log på Azure Portal, og naviger til Virtual machines.
- Vælg hver virtuel maskine, gå derefter til Settings, og klik på Disks.
- Klik på X ved siden af OS-disken eller datadisken for at frakoble den fra VM'en.
- I Azure-søgefeltet skriver du Disks og finder den frakoblede disk.
- Klik på disknavnet, og vælg derefter Encryption i venstremenuen.
- Skift krypteringstypen til Customer Managed Key, og vælg dit krypteringssæt fra Azure Key Vault.
- Klik på Save for at anvende krypteringsændringen.
- Vend tilbage til den oprindelige virtuelle maskine, og genmonter disken under indstillingerne for Disks.
Overholdelse af regler
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Niveau 2)
- EIDSCA: Relateret til databeskyttelseskontroller
- CISA: Reference til sikker cloud-konfiguration
Relaterede ressourcer
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell