Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Dlaczego to jest ważne
Niepodłączone dyski szyfrowane wyłącznie kluczami zarządzanymi przez platformę pozostają podatne na nieautoryzowany dostęp w przypadku, gdy naruszone konto administracyjne zamontuje dysk. Bez klucza zarządzanego przez klienta (CMK) możliwe jest odzyskanie pełnej zawartości dysku, co może prowadzić do ujawnienia wrażliwych danych. Użycie CMK zapewnia dodatkową warstwę kontroli dostępu i pomaga spełnić wymogi regulacyjne dotyczące własności i zarządzania kluczami.
Co sprawdza Aether365
Aether365 weryfikuje, czy każdy niepodłączony dysk zarządzany w Twojej subskrypcji Azure jest szyfrowany przy użyciu klucza zarządzanego przez klienta (CMK). To sprawdzenie jest widoczne na pulpicie nawigacyjnym Aether365 w ramach kontroli zgodności azure-azure-disks.
Jak naprawić
- Zidentyfikuj wszystkie niepodłączone dyski w swojej subskrypcji. Możesz użyć Azure Portal, Azure CLI lub PowerShell, aby wyświetlić dyski z właściwością
diskStateustawioną na "Unattached". - Dla każdego niepodłączonego dysku zawierającego ważne dane, zaszyfruj go przy użyciu klucza zarządzanego przez klienta. W Azure Portal przejdź do "Disks" > "Encryption", aby wybrać klucz z Azure Key Vault. Alternatywnie użyj polecenia Azure CLI:
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Dla niepodłączonych dysków bez ważnych danych, usuń je, aby zmniejszyć ryzyko i koszty. Użyj opcji "Delete" w Azure Portal lub polecenia CLI:
az disk delete --name <disk-name> --resource-group <resource-group>.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Poziom 2)
- Azure Security Benchmark DP-5: szyfruj wrażliwe dane w spoczynku
Powiązane zasoby
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings