Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Bu Neden Önemli
Yalnızca platform tarafından yönetilen anahtarlarla şifrelenmiş bağlı olmayan diskler, güvenliği ihlal edilmiş bir yönetim hesabının diski bağlaması durumunda yetkisiz erişime karşı savunmasız kalır. Müşteri tarafından yönetilen bir anahtar olmadan, diskin tüm içeriği kurtarılabilir ve bu da hassas verilerin açığa çıkmasına neden olabilir. CMK kullanımı, ek bir erişim kontrolü katmanı sağlar ve anahtar sahipliği ile yönetimine ilişkin düzenleme gereksinimlerinin karşılanmasına yardımcı olur.
Aether365'in Kontrol Ettiği
Aether365, Azure aboneliğinizdeki her bağlı olmayan yönetilen diskin müşteri tarafından yönetilen bir anahtarla (CMK) şifrelendiğini doğrular. Bu kontrol, Aether365 panosunda azure-azure-disks uyumluluk kontrolleri altında görünür.
Nasıl Düzeltilir
- Aboneliğinizdeki tüm bağlı olmayan diskleri belirleyin.
diskStateözelliği "Unattached" olarak ayarlanmış diskleri listelemek için Azure portal, Azure CLI veya PowerShell kullanabilirsiniz. - Önemli veri içeren her bağlı olmayan disk için, müşteri tarafından yönetilen bir anahtar kullanarak şifreleyin. Azure portalda "Disks" > "Encryption" altından Azure Key Vault'unuzdan bir anahtar seçin. Alternatif olarak,
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>Azure CLI komutunu kullanın. - Önemli veri içermeyen bağlı olmayan diskleri, riski ve maliyeti azaltmak için silin. Azure portalda "Delete" seçeneğini veya
az disk delete --name <disk-name> --resource-group <resource-group>CLI komutunu kullanın.
Uyumluluk
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Hassas verileri bekleyen durumda şifreleyin
İlgili Kaynaklar
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings