Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Kodėl tai svarbu
Operacinės sistemos ir duomenų diskų šifravimas naudojant Customer Managed Keys (CMK) suteikia jums šifravimo raktų kontrolę, o ne pasikliaujama „Azure“ numatytaisiais Platform Managed Keys (PMK). Be CMK jūsų duomenys lieka pažeidžiami, jei „Microsoft“ raktai būtų pažeisti, ir jūs negalite savarankiškai keisti ar išjungti raktų. Didelės rizikos duomenims CMK suteikia būtiną papildomą saugumo sluoksnį, neleidžiantį neteisėtai atkurti duomenų iš atjungtų diskų.
Ką tikrina Aether365
Aether365 patikrina, ar visi jūsų „Azure“ prenumeratos virtualiųjų mašinų operacinės sistemos ir duomenų diskai yra užšifruoti naudojant Customer Managed Keys (CMK). Šis patikrinimas matomas Aether365 prietaisų skydelyje po skyriumi azure-azure-virtual-machines.
Kaip ištaisyti
Svarbi pastaba: Diskai turi būti atjungti nuo jų virtualiųjų mašinų, prieš keičiant šifravimo nustatymus.
- Prisijunkite prie „Azure“ portalo ir eikite į Virtual machines.
- Pasirinkite kiekvieną virtualiąją mašiną, tada eikite į Settings ir spustelėkite Disks.
- Spustelėkite X šalia operacinės sistemos disko arba duomenų disko, kad jį atjungtumėte nuo virtualiosios mašinos.
- „Azure“ paieškos juostoje įveskite Disks ir suraskite neprijungtą diską.
- Spustelėkite disko pavadinimą, tada kairiajame meniu pasirinkite Encryption.
- Pakeiskite šifravimo tipą į Customer Managed Key ir pasirinkite savo šifravimo rinkinį iš „Azure Key Vault“.
- Spustelėkite Save, kad pritaikytumėte šifravimo pakeitimą.
- Grįžkite prie pradinės virtualiosios mašinos ir vėl prijunkite diską skyriuje Disks nustatymuose.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Susijęs su duomenų apsaugos kontrolėmis
- CISA: Nuoroda saugiai debesies konfigūracijai
Susiję ištekliai
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell