Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Prečo je to dôležité
Neodpojené disky šifrované len pomocou kľúčov spravovaných platformou zostávajú zraniteľné voči neoprávnenému prístupu, ak sa napadnutému administrátorskému účtu podarí disk pripojiť. Bez kľúča spravovaného zákazníkom je možné obnoviť celý obsah disku, čo môže viesť k odhaleniu citlivých údajov. Použitie CMK poskytuje ďalšiu vrstvu kontroly prístupu a pomáha splniť regulačné požiadavky na vlastníctvo a správu kľúčov.
Čo kontroluje Aether365
Aether365 overuje, či je každý neodpojený spravovaný disk vo vašom predplatnom Azure zašifrovaný pomocou kľúča spravovaného zákazníkom (CMK). Táto kontrola sa zobrazuje v paneli Aether365 v rámci kontrol zhody azure-azure-disks.
Ako to opraviť
- Identifikujte všetky neodpojené disky vo svojom predplatnom. Na zoznam diskov s vlastnosťou
diskStatenastavenou na "Unattached" môžete použiť portál Azure, Azure CLI alebo PowerShell. - Pre každý neodpojený disk, ktorý obsahuje dôležité údaje, ho zašifrujte pomocou kľúča spravovaného zákazníkom. Na portáli Azure prejdite do časti "Disks" > "Encryption" a vyberte kľúč z vášho Azure Key Vault. Alternatívne môžete použiť príkaz Azure CLI
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Pre neodpojené disky bez dôležitých údajov ich odstráňte, aby ste znížili riziko a náklady. Použite možnosť "Delete" na portáli Azure alebo príkaz CLI
az disk delete --name <disk-name> --resource-group <resource-group>.
Zhoda
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Súvisiace zdroje
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings