Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Kodėl tai svarbu
Neužfiksuoti diskai, užšifruoti tik platformos valdomais raktais, išlieka pažeidžiami neteisėtai prieigai, jei pažeista administracinė paskyra prijungs diską. Be kliento valdomo rakto gali būti atkurtas visas disko turinys, potencialiai atskleidžiant slaptus duomenis. Naudojant CMK užtikrinamas papildomas prieigos kontrolės lygis ir padedama laikytis reguliavimo reikalavimų dėl rakto nuosavybės ir valdymo.
Ką tikrina Aether365
Aether365 patikrina, ar kiekvienas nepridėtas valdomas diskas jūsų Azure prenumeratoje yra užšifruotas naudojant kliento valdomą raktą (CMK). Šis patikrinimas rodomas Aether365 skydelyje pagal azure-azure-disks atitikties patikrinimus.
Kaip ištaisyti
- Identifikuokite visus nepridėtus diskus savo prenumeratoje. Galite naudoti Azure portalą, Azure CLI arba PowerShell, kad išvardytumėte diskus, kurių
diskStateyra "Unattached". - Kiekvieną nepridėtą diską, kuriame yra svarbių duomenų, užšifruokite naudodami kliento valdomą raktą. Azure portale pasirinkite "Disks" > "Encryption" ir pasirinkite raktą iš savo Azure Key Vault. Arba naudokite Azure CLI komandą
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Nepridėtus diskus be svarbių duomenų ištrinkite, kad sumažintumėte riziką ir išlaidas. Azure portale naudokite parinktį "Delete" arba CLI komandą
az disk delete --name <disk-name> --resource-group <resource-group>.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 8.4 (2 lygis)
- Azure Security Benchmark DP-5: Užšifruoti slaptus duomenis ramybėje
Susiję ištekliai
- Azure Disk Encryption apžvalga
- Įgalinti kliento valdomus raktus valdomiems diskams
- Azure CLI disko trynimas
- Azure CLI disko atnaujinimas
- REST API disko atnaujinimo šifravimo nustatymai