Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Miks see on oluline
Kettad, mis pole kinnitatud ja on krüptitud ainult platvormihaldusvõtmetega, jäävad haavatavaks volitamata juurdepääsu suhtes, kui kompromiteeritud administraatorikonto kettale juurde pääseb. Ilma kliendihaldusvõtmeta võib kogu ketta sisu taastada, mis võib paljastada tundlikke andmeid. Kliendihaldusvõtme (CMK) kasutamine annab täiendava juurdepääsukontrolli kihi ja aitab täita regulatiivseid nõudeid võtme omandi ja halduse osas.
Mida Aether365 kontrollib
Aether365 kontrollib, et iga teie Azure tellimuses olev kinnitamata hallatav ketas on krüptitud kliendihaldusvõtmega (CMK). See kontroll kuvatakse Aether365 armatuurlaual jaotises azure-azure-disks vastavuskontrollid.
Kuidas parandada
- Tuvastage kõik kinnitamata kettad oma tellimuses. Saate kasutada Azure'i portaali, Azure CLI-d või PowerShellit, et loetleda kettad, mille omadus
diskStateon seatud väärtusele "Unattached". - Iga kinnitamata ketta puhul, mis sisaldab olulisi andmeid, krüptige see kliendihaldusvõtmega. Kasutage Azure'i portaali jaotises "Disks" > "Encryption", et valida oma Azure Key Vaultist võti. Teise võimalusena kasutage Azure CLI käsku
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Kinnitamata ketaste puhul, millel pole olulisi andmeid, kustutage need, et vähendada riski ja kulusid. Kasutage Azure'i portaalis valikut "Delete" või CLI käsku
az disk delete --name <disk-name> --resource-group <resource-group>.
Vastavus
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Krüptige tundlikud andmed puhkeolekus
Seotud ressursid
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings