Ensure that 'OS and Data' disks are encrypted with Customer Managed Key (CMK)
Чому це важливо
Шифрування дисків ОС та дисків даних за допомогою Customer Managed Keys (CMK) надає вам контроль над ключами шифрування, на відміну від покладання на стандартні Platform Managed Keys (PMK) Azure. Без CMK ваші дані залишаються вразливими, якщо ключі Microsoft будуть скомпрометовані, і ви не зможете самостійно обертати або вимикати ключі. Для даних з високим ризиком CMK забезпечує додатковий важливий рівень безпеки, щоб запобігти несанкціонованому відновленню даних з від'єднаних дисків.
Що перевіряє Aether365
Aether365 перевіряє, чи всі диски ОС та диски даних, підключені до віртуальних машин у вашій підписці Azure, зашифровані за допомогою Customer Managed Keys (CMK). Ця перевірка відображається на панелі керування Aether365 у розділі azure-azure-virtual-machines.
Як виправити
Важлива примітка: Диски необхідно від'єднати від їхніх віртуальних машин, перш ніж змінювати налаштування шифрування.
- Увійдіть на портал Azure та перейдіть до Virtual machines.
- Виберіть кожну віртуальну машину, потім перейдіть до Settings та натисніть Disks.
- Натисніть X поруч з диском ОС або диском даних, щоб від'єднати його від віртуальної машини.
- У рядку пошуку Azure введіть Disks та знайдіть від'єднаний диск.
- Натисніть назву диска, а потім виберіть Encryption з лівого меню.
- Змініть тип шифрування на Customer Managed Key та виберіть набір шифрування з Azure Key Vault.
- Натисніть Save, щоб застосувати зміну шифрування.
- Поверніться до вихідної віртуальної машини та повторно підключіть диск у налаштуваннях Disks.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 8.3 (Level 2)
- EIDSCA: Стосується засобів контролю захисту даних
- CISA: Посилання на безпечну конфігурацію хмари
Пов'язані ресурси
- Azure Disk Encryption for VMs and VMSS
- Security Center Disk Encryption Overview
- Data Encryption Best Practices at Rest
- Enable Customer Managed Keys with PowerShell