Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Zakaj je to pomembno
Šifriranje operacijskih in podatkovnih diskov s Customer Managed Keys (CMK) vam omogoča nadzor nad šifrirnimi ključi, namesto da se zanašate na privzete Platform Managed Keys (PMK) v Azure. Brez CMK ostanejo vaši podatki ranljivi, če so Microsoftovi ključi ogroženi, in ne morete samostojno rotirati ali onemogočiti ključev. Pri visoko tveganih podatkih CMK zagotavlja bistveno dodatno varnostno plast za preprečitev nepooblaščenega obnavljanja podatkov odklopljenih diskov.
Kaj preverja Aether365
Aether365 preverja, ali so vsi operacijski in podatkovni diski, povezani z navideznimi stroji v vaši naročnini Azure, šifrirani s Customer Managed Keys (CMK). To preverjanje je prikazano na nadzorni plošči Aether365 v razdelku azure-azure-virtual-machines.
Kako odpraviti težavo
Pomembno opozorilo: Diski morajo biti odklopljeni od svojih VM, preden lahko spremenite nastavitve šifriranja.
- Vpišite se v Azure Portal in pojdite na Virtual machines.
- Izberite vsak navidezni stroj, nato pojdite na Settings in kliknite Disks.
- Kliknite X poleg operacijskega ali podatkovnega diska, da ga odklopite od VM.
- V iskalni vrstici Azure vnesite Disks in poiščite odklopljeni disk.
- Kliknite ime diska, nato v levem meniju izberite Encryption.
- Spremenite vrsto šifriranja na Customer Managed Key in izberite svoj šifrirni niz iz Azure Key Vault.
- Kliknite Save, da uveljavite spremembo šifriranja.
- Vrnite se na prvotni navidezni stroj in ponovno priklopite disk v nastavitvah Disks.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Povezano z nadzorom varovanja podatkov
- CISA: Referenca za varno konfiguracijo v oblaku
Povezani viri
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell