Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Miksi tämä on tärkeää
Irrotetut levyt, jotka on salattu vain alustan hallitsemilla avaimilla, ovat edelleen alttiita luvattomalle käytölle, jos vaarantunut hallintatili liittää levyn. Ilman asiakkaan hallitsemaa avainta koko levyn sisältö voitaisiin palauttaa, mikä saattaa paljastaa arkaluonteisia tietoja. CMK:n käyttö tarjoaa ylimääräisen pääsynhallintakerroksen ja auttaa täyttämään sääntelyvaatimukset avaimen omistajuudesta ja hallinnasta.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että jokainen irrotettu hallittu levy Azure-tilauksessasi on salattu asiakkaan hallitsemalla avaimella (CMK). Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-azure-disks-vaatimustenmukaisuustarkistusten alla.
Korjaaminen
- Tunnista kaikki irrotetut levyt tilauksessasi. Voit luetella levyt, joiden
diskState-ominaisuus on "Unattached", käyttämällä Azure-portaalia, Azure CLI:tä tai PowerShellia. - Salaa jokainen tärkeää tietoa sisältävä irrotettu levy asiakkaan hallitsemalla avaimella. Valitse Azure-portaalissa "Disks" > "Encryption" -osiossa avain Azure Key Vaultista. Vaihtoehtoisesti voit käyttää Azure CLI -komentoa
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Poista irrotetut levyt, jotka eivät sisällä tärkeitä tietoja, riskin ja kustannusten vähentämiseksi. Käytä Azure-portaalin "Delete"-vaihtoehtoa tai CLI-komentoa
az disk delete --name <disk-name> --resource-group <resource-group>.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Liittyvät resurssit
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings