Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Prečo je to dôležité
Šifrovanie systémových a dátových diskov pomocou Customer Managed Keys (CMK) vám dáva kontrolu nad šifrovacími kľúčmi namiesto spoliehania sa na predvolené Platform Managed Keys (PMK) od Azure. Bez CMK zostávajú vaše údaje zraniteľné v prípade kompromitácie kľúčov spoločnosti Microsoft a nemôžete kľúče samostatne rotovať ani deaktivovať. Pre vysoko rizikové údaje predstavuje CMK nevyhnutnú dodatočnú bezpečnostnú vrstvu, ktorá zabraňuje neoprávnenej obnove údajov z odpojených diskov.
Čo kontroluje Aether365
Aether365 overuje, či sú všetky systémové a dátové disky pripojené k virtuálnym strojom v rámci vášho predplatného Azure šifrované pomocou Customer Managed Keys (CMK). Táto kontrola sa zobrazuje v paneli Aether365 v sekcii azure-azure-virtual-machines.
Ako to opraviť
Dôležitá poznámka: Disky musia byť odpojené od svojich VM predtým, ako môžete zmeniť nastavenia šifrovania.
- Prihláste sa do portálu Azure a prejdite na Virtual machines.
- Vyberte každý virtuálny stroj, potom prejdite na Settings a kliknite na Disks.
- Kliknite na X vedľa systémového alebo dátového disku, aby ste ho odpojili od VM.
- Do vyhľadávacieho poľa Azure zadajte Disks a nájdite nepripojený disk.
- Kliknite na názov disku, potom v ľavom menu vyberte Encryption.
- Zmeňte typ šifrovania na Customer Managed Key a vyberte svoju šifrovaciu sadu z Azure Key Vault.
- Kliknite na Save pre aplikovanie zmeny šifrovania.
- Vráťte sa k pôvodnému virtuálnemu stroju a znova pripojte disk v nastaveniach Disks.
Súlad s predpismi
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Súvisí s kontrolami ochrany údajov
- CISA: Referencia pre bezpečnú cloudovú konfiguráciu
Súvisiace zdroje
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell