Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
De ce este important
Discurile neatașate criptate doar cu chei gestionate de platformă rămân vulnerabile la acces neautorizat dacă un cont administrativ compromis montează discul. Fără o cheie gestionată de client, conținutul complet al discului poate fi recuperat, expunând potențial date sensibile. Utilizarea CMK oferă un nivel suplimentar de control al accesului și ajută la îndeplinirea cerințelor de reglementare privind proprietatea și gestionarea cheilor.
Ce verifică Aether365
Aether365 confirmă că fiecare disc gestionat neatașat din abonamentul dvs. Azure este criptat cu o cheie gestionată de client (CMK). Această verificare apare în tabloul de bord Aether365, în secțiunea verificărilor de conformitate azure-azure-disks.
Cum se remediază
- Identificați toate discurile neatașate din abonament. Puteți utiliza Azure portal, Azure CLI sau PowerShell pentru a lista discurile cu proprietatea
diskStatesetată la "Unattached". - Pentru fiecare disc neatașat care conține date importante, criptați-l utilizând o cheie gestionată de client. În Azure portal, accesați "Disks" > "Encryption" pentru a selecta o cheie din Azure Key Vault. Alternativ, utilizați comanda Azure CLI:
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Pentru discurile neatașate fără date importante, ștergeți-le pentru a reduce riscurile și costurile. Utilizați opțiunea "Delete" din Azure portal sau comanda CLI:
az disk delete --name <disk-name> --resource-group <resource-group>.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Resurse conexe
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings