Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Kāpēc tas ir svarīgi
OS un datu disku šifrēšana ar Customer Managed Keys (CMK) sniedz jums kontroli pār šifrēšanas atslēgām, nevis paļaujas uz Azure noklusējuma Platform Managed Keys (PMK). Bez CMK jūsu dati paliek neaizsargāti, ja Microsoft atslēgas tiek apdraudētas, un jūs nevarat patstāvīgi rotēt vai atspējot atslēgas. Augsta riska datiem CMK nodrošina būtisku papildu drošības slāni, lai novērstu neatļautu datu atgūšanu no atvienotajiem diskiem.
Ko pārbauda Aether365
Aether365 pārbauda, vai visi OS un datu diski, kas pievienoti virtuālajām mašīnām jūsu Azure abonementā, ir šifrēti, izmantojot Customer Managed Keys (CMK). Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā azure-azure-virtual-machines.
Kā labot
Svarīga piezīme: Diski ir jāatvieno no to VM, pirms varat mainīt šifrēšanas iestatījumus.
- Piesakieties Azure portal un dodieties uz Virtual machines.
- Atlasiet katru virtuālo mašīnu, pēc tam dodieties uz Settings un noklikšķiniet uz Disks.
- Noklikšķiniet uz X blakus OS diskam vai datu diskam, lai to atvienotu no VM.
- Azure meklēšanas joslā ierakstiet Disks un atrodiet atvienoto disku.
- Noklikšķiniet uz diska nosaukuma, pēc tam kreisajā izvēlnē atlasiet Encryption.
- Mainiet šifrēšanas veidu uz Customer Managed Key un atlasiet savu šifrēšanas komplektu no Azure Key Vault.
- Noklikšķiniet uz Save, lai piemērotu šifrēšanas izmaiņas.
- Atgriezieties pie sākotnējās virtuālās mašīnas un atkārtoti pievienojiet disku sadaļā Disks iestatījumos.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Saistīts ar datu aizsardzības kontrolēm
- CISA: Atsauce uz drošu mākoņa konfigurāciju
Saistītie resursi
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell