Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Varför detta är viktigt
Okopplade diskar som endast är krypterade med plattformsstyrda nycklar förblir sårbara för obehörig åtkomst om ett komprometterat administratörskonto monterar disken. Utan en kundstyrd nyckel kan hela diskens innehåll återställas, vilket potentiellt kan exponera känsliga data. Användning av CMK ger ett extra lager av åtkomstkontroll och hjälper dig att uppfylla regulatoriska krav för nyckelägarskap och -hantering.
Vad Aether365 kontrollerar
Aether365 verifierar att varje okopplad hanterad disk i din Azure-prenumeration är krypterad med en kundstyrd nyckel (CMK). Denna kontroll visas i Aether365-instrumentpanelen under azure-azure-disks compliance checks.
Åtgärd
- Identifiera alla okopplade diskar i din prenumeration. Du kan använda Azure Portal, Azure CLI eller PowerShell för att lista diskar med egenskapen
diskStateinställd på "Unattached". - För varje okopplad disk som innehåller viktiga data, kryptera den med en kundstyrd nyckel. Använd Azure Portal under "Disks" > "Encryption" för att välja en nyckel från ditt Azure Key Vault. Alternativt kan du använda Azure CLI-kommandot
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - För okopplade diskar utan viktiga data, ta bort dem för att minska risk och kostnad. Använd Azure Portal-alternativet "Delete" eller CLI-kommandot
az disk delete --name <disk-name> --resource-group <resource-group>.
Efterlevnad
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Relaterade resurser
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings