Ensure that 'Unattached disks' are encrypted with 'Customer Managed Key' (CMK)
Чому це важливо
Непідключені диски, зашифровані лише платформними ключами, залишаються вразливими до несанкціонованого доступу, якщо скомпрометований обліковий запис адміністратора змонтує диск. Без ключа, керованого клієнтом, вміст диска може бути повністю відновлено, що потенційно призведе до витоку конфіденційних даних. Використання CMK забезпечує додатковий рівень контролю доступу та допомагає відповідати вимогам регуляторів щодо володіння та управління ключами.
Що перевіряє Aether365
Aether365 перевіряє, чи кожен непідключений керований диск у вашій підписці Azure зашифровано ключем, керованим клієнтом (CMK). Ця перевірка відображається на панелі управління Aether365 у розділі azure-azure-disks compliance checks.
Як виправити
- Визначте всі непідключені диски у вашій підписці. Ви можете скористатися порталом Azure, Azure CLI або PowerShell, щоб вивести список дисків із властивістю
diskState, встановленою на "Unattached". - Для кожного непідключеного диска, що містить важливі дані, зашифруйте його за допомогою ключа, керованого клієнтом. У порталі Azure перейдіть до "Disks" > "Encryption", щоб вибрати ключ з вашого Azure Key Vault. Також можна скористатися командою Azure CLI:
az disk update --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set <disk-encryption-set-id> -g <resource-group> -n <disk-name>. - Для непідключених дисків без важливих даних видаліть їх, щоб зменшити ризик та витрати. Використовуйте опцію "Delete" на порталі Azure або команду CLI:
az disk delete --name <disk-name> --resource-group <resource-group>.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 8.4 (Level 2)
- Azure Security Benchmark DP-5: Encrypt sensitive data at rest
Пов'язані ресурси
- Azure Disk Encryption Overview
- Enable Customer-Managed Keys for Managed Disks
- Azure CLI Disk Delete
- Azure CLI Disk Update
- REST API Disk Update Encryption Settings