Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Dlaczego to jest ważne
Szyfrowanie dysków systemu operacyjnego i danych za pomocą kluczy zarządzanych przez klienta (CMK) daje kontrolę nad kluczami szyfrowania, zamiast polegać na domyślnych kluczach zarządzanych przez platformę (PMK) w Azure. Bez CMK dane pozostają podatne na zagrożenia, jeśli klucze Microsoftu zostaną naruszone, a Ty nie możesz samodzielnie rotować ani dezaktywować kluczy. W przypadku danych wysokiego ryzyka CMK zapewnia niezbędną dodatkową warstwę zabezpieczeń, aby zapobiec nieautoryzowanemu odzyskiwaniu danych z odłączonych dysków.
Co sprawdza Aether365
Aether365 weryfikuje, czy wszystkie dyski systemu operacyjnego i danych podłączone do maszyn wirtualnych w ramach subskrypcji Azure są szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK). To sprawdzenie pojawia się w panelu Aether365 w sekcji azure-azure-virtual-machines.
Jak naprawić
Ważne: Dyski muszą być odłączone od swoich maszyn wirtualnych przed zmianą ustawień szyfrowania.
- Zaloguj się do Azure Portal i przejdź do Virtual machines.
- Wybierz każdą maszynę wirtualną, a następnie przejdź do Settings i kliknij Disks.
- Kliknij przycisk X obok dysku systemu operacyjnego lub dysku danych, aby odłączyć go od maszyny wirtualnej.
- W pasku wyszukiwania Azure wpisz Disks i znajdź odłączony dysk.
- Kliknij nazwę dysku, a następnie z lewego menu wybierz Encryption.
- Zmień typ szyfrowania na Customer Managed Key i wybierz zestaw szyfrowania z Azure Key Vault.
- Kliknij Save, aby zastosować zmianę szyfrowania.
- Wróć do oryginalnej maszyny wirtualnej i ponownie podłącz dysk w ustawieniach Disks.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Poziom 2)
- EIDSCA: Powiązane z kontrolami ochrony danych
- CISA: Odniesienie do bezpiecznej konfiguracji chmury
Powiązane zasoby
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell