Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Miksi tämä on tärkeää
Käyttöjärjestelmän ja tietolevyjen salaaminen asiakkaan hallinnoimilla avaimilla (Customer Managed Keys, CMK) antaa sinulle hallinnan salausavaimista sen sijaan, että luottaisit Azuren oletusarvoisiin alustan hallinnoimiin avaimiin (Platform Managed Keys, PMK). Ilman CMK:ta tietosi ovat haavoittuvia, jos Microsoftin avaimet vaarantuvat, etkä pysty kiertämään tai poistamaan avaimia itsenäisesti. Suuren riskin tiedoille CMK tarjoaa tärkeän lisäsuojakerroksen, joka estää luvattoman tietojen palauttamisen irrotetuista levyistä.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että kaikki Azure-tilauksesi virtuaalikoneisiin liitetyt käyttöjärjestelmä- ja tieto levyt on salattu asiakkaan hallinnoimilla avaimilla (CMK). Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-azure-virtual-machines-osiossa.
Kuinka korjata
Tärkeä huomautus: Levyjen on oltava irrotettuina virtuaalikoneistaan ennen salausasetusten muuttamista.
- Kirjaudu Azure Portal:iin ja siirry kohtaan Virtual machines.
- Valitse jokainen virtuaalikone, siirry sitten kohtaan Settings ja valitse Disks.
- Napsauta X-merkkiä käyttöjärjestelmälevyn tai tietolevyn vieressä irrottaaksesi sen virtuaalikoneesta.
- Kirjoita Azure-hakupalkkiin Disks ja etsi irrotettu levy.
- Napsauta levyn nimeä ja valitse sitten Encryption vasemman valikon kautta.
- Vaihda salaustyyppi Customer Managed Key -tilaan ja valitse salausjoukko Azure Key Vault -palvelusta.
- Napsauta Save ottaaksesi salausmuutoksen käyttöön.
- Palaa alkuperäiseen virtuaalikoneeseen ja liitä levy uudelleen Disks-asetusten kautta.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Liittyy tietosuojakontrolleihin
- CISA: Viittaus turvalliseen pilviasennukseen
Liittyvät resurssit
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell