Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Kāpēc tas ir svarīgi
Nepievienotie diski, kas šifrēti tikai ar platformas pārvaldītām atslēgām, joprojām ir neaizsargāti pret neatļautu piekļuvi, ja kompromitēts administratīvais konts pieslēdz disku. Bez klienta pārvaldītas atslēgas var tikt atgūts pilns diska saturs, potenciāli atklājot sensitīvus datus. CMK izmantošana nodrošina papildu piekļuves kontroles līmeni un palīdz izpildīt normatīvās prasības attiecībā uz atslēgu īpašumtiesībām un pārvaldību.
Ko Aether365 pārbauda
Aether365 pārbauda, vai katrs nepievienotais pārvaldītais disks jūsu Azure abonementā ir šifrēts ar klienta pārvaldītu atslēgu (CMK). Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā azure-azure-disks atbilstības pārbaudes.
Kā labot
- Identificējiet visus nepievienotos diskus savā abonementā. Varat izmantot Azure portālu, Azure CLI vai PowerShell, lai uzskaitītu diskus, kuriem rekvizīts
diskStateir iestatīts uz "Unattached". - Katram nepievienotajam diskam, kas satur svarīgus datus, veiciet šifrēšanu, izmantojot klienta pārvaldītu atslēgu. Azure portālā sadaļā "Disks" > "Encryption" atlasiet atslēgu no sava Azure Key Vault. Alternatīvi izmantojiet Azure CLI komandu
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Nepievienotajiem diskiem bez svarīgiem datiem veiciet dzēšanu, lai samazinātu risku un izmaksas. Azure portālā izmantojiet opciju "Delete" vai CLI komandu
az disk delete --name <disk-name> --resource-group <resource-group>.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Saistītie resursi
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings