Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Zakaj je to pomembno
Neodklopljeni diski, šifrirani samo s ključi, ki jih upravlja platforma, ostajajo ranljivi za nepooblaščen dostop, če ogrožen administrativni račun priključi disk. Brez ključa, ki ga upravlja stranka, bi bilo mogoče obnoviti celotno vsebino diska, kar bi lahko razkrilo občutljive podatke. Uporaba CMK zagotavlja dodatno raven nadzora dostopa in pomaga izpolnjevati zakonske zahteve glede lastništva in upravljanja ključev.
Kaj Aether365 preverja
Aether365 preveri, ali je vsak neodklopljen upravljan disk v vaši naročnini Azure šifriran s ključem, ki ga upravlja stranka (CMK). To preverjanje je prikazano na nadzorni plošči Aether365 pod preverjanji skladnosti azure-azure-disks.
Kako popraviti
- Poiščite vse neodklopljene diske v svoji naročnini. Za seznam diskov z lastnostjo
diskState, nastavljeno na "Unattached", lahko uporabite Azure Portal, Azure CLI ali PowerShell. - Za vsak neodklopljen disk, ki vsebuje pomembne podatke, ga šifrirajte s ključem, ki ga upravlja stranka. V Azure Portal pod "Disks" > "Encryption" izberite ključ iz svojega Azure Key Vault. Lahko pa uporabite ukaz Azure CLI
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Za neodklopljene diske brez pomembnih podatkov jih izbrišite, da zmanjšate tveganje in stroške. Uporabite možnost "Delete" v Azure Portal ali ukaz CLI
az disk delete --name <disk-name> --resource-group <resource-group>.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Povezani viri
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings