Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Därför är detta viktigt
Kryptering av operativsystem och datadiskar med Customer Managed Keys (CMK) ger dig kontroll över krypteringsnycklar istället för att förlita dig på Azures standardinställning Platform Managed Keys (PMK). Utan CMK är din data fortfarande sårbar om Microsofts nycklar äventyras, och du kan inte rotera eller inaktivera nycklar på egen hand. För högriskdata utgör CMK ett nödvändigt extra säkerhetslager som förhindrar obehörig dataåterställning från frånkopplade diskar.
Vad Aether365 kontrollerar
Aether365 verifierar att alla OS- och datadiskar som är kopplade till virtuella datorer inom din Azure-prenumeration är krypterade med Customer Managed Keys (CMK). Denna kontroll visas i Aether365-instrumentpanelen under avsnittet azure-azure-virtual-machines.
Så här åtgärdar du
Viktig anmärkning: Diskarna måste kopplas från sina virtuella datorer innan du kan ändra krypteringsinställningarna.
- Logga in på Azure Portal och navigera till Virtual machines.
- Välj varje virtuell dator, gå sedan till Settings och klicka på Disks.
- Klicka på X bredvid operativsystemdisken eller datadisken för att koppla bort den från den virtuella datorn.
- I Azures sökfält skriver du Disks och lokaliserar den frånkopplade disken.
- Klicka på disknamnet och välj sedan Encryption från menyn till vänster.
- Ändra krypteringstypen till Customer Managed Key och välj din krypteringsuppsättning från Azure Key Vault.
- Klicka på Save för att tillämpa krypteringsändringen.
- Återgå till den ursprungliga virtuella datorn och återanslut disken under Disks-inställningarna.
Regelefterlevnad
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Relaterat till dataskyddskontroller
- CISA: Referens för säker molnkonfiguration
Relaterade resurser
- Azure Disk Encryption för virtuella datorer och VMSS
- Översikt över Security Center Disk Encryption
- Bästa praxis för datakryptering i vila
- Aktivera Customer Managed Keys med PowerShell