Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Hvorfor dette er viktig
Frakoblede disker som kun er kryptert med plattformstyrte nøkler, forblir sårbare for uautorisert tilgang dersom en kompromittert administratorkonto monterer disken. Uten en kundestyrt nøkkel kan hele diskens innhold gjenopprettes, noe som potensielt kan eksponere sensitive data. Bruk av CMK gir et ekstra lag med tilgangskontroll og bidrar til å oppfylle regulatoriske krav om nøkkeleierskap og -forvaltning.
Hva Aether365 sjekker
Aether365 verifiserer at hver frakoblet administrert disk i Azure-abonnementet ditt er kryptert med en kundestyrt nøkkel (CMK). Denne kontrollen vises i Aether365-dashbordet under azure-azure-disks-kontrollene.
Slik løser du det
- Identifiser alle frakoblede disker i abonnementet ditt. Du kan bruke Azure Portal, Azure CLI eller PowerShell for å liste disker med
diskState-egenskapen satt til "Unattached". - For hver frakoblede disk som inneholder viktige data, krypter den med en kundestyrt nøkkel. Bruk Azure Portal under "Disks" > "Encryption" for å velge en nøkkel fra Azure Key Vault. Alternativt kan du bruke Azure CLI-kommandoen
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - For frakoblede disker uten viktige data, slett dem for å redusere risiko og kostnader. Bruk alternativet "Delete" i Azure Portal eller CLI-kommandoen
az disk delete --name <disk-name> --resource-group <resource-group>.
Samsvar
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Krypter sensitive data i hvile
Relaterte ressurser
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings