Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Por Que Es Importante
Los discos no conectados cifrados solo con claves administradas por la plataforma siguen siendo vulnerables a accesos no autorizados si una cuenta administrativa comprometida monta el disco. Sin una clave administrada por el cliente, el contenido completo del disco podria recuperarse, exponiendo potencialmente datos sensibles. El uso de CMK proporciona una capa adicional de control de acceso y ayuda a cumplir con los requisitos regulatorios sobre propiedad y gestion de claves.
Que Verifica Aether365
Aether365 verifica que cada disco administrado no conectado en su suscripcion de Azure este cifrado con una clave administrada por el cliente (CMK). Esta verificacion aparece en el panel de Aether365 bajo las comprobaciones de cumplimiento azure-azure-disks.
Como Solucionarlo
- Identifique todos los discos no conectados en su suscripcion. Puede usar Azure Portal, Azure CLI o PowerShell para listar discos con la propiedad
diskStateestablecida en "Unattached". - Para cada disco no conectado que contenga datos importantes, cifrelo usando una clave administrada por el cliente. Use Azure Portal en "Disks" > "Encryption" para seleccionar una clave de su Azure Key Vault. Alternativamente, use el comando de Azure CLI
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Para discos no conectados sin datos importantes, eliminelos para reducir riesgos y costos. Use la opcion "Delete" de Azure Portal o el comando de CLI
az disk delete --name <disk-name> --resource-group <resource-group>.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Nivel 2)
- Azure Security Benchmark DP-5: Cifrar datos sensibles en reposo
Recursos Relacionados
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings