Disable-AzureRmVMDiskEncryption cmdlet(我相信禁用 = 解密)只需要 VM 的名称即可禁用加密。
在没有任何密钥的情况下禁用加密不是一个安全问题吗?如何通过 RBAC 保护磁盘不被禁用加密?
在没有任何密钥的情况下禁用加密不是一个安全问题吗?
这看起来不像是一个安全问题,因为这里有两个不同的问题:
保护静态数据 - 由 Azure 磁盘加密处理(仅当您根据 Azure 数据安全和加密最佳实践启用它时)
保护对 VM 本身及其资源的访问 - 这由 RBAC 负责。
禁用磁盘加密时
它实际上确保当前加密的数据被解密回来并且不再被静态加密。
由于从您首先启用加密开始,Azure 就已经知道有关密钥加密密钥 (KEK) 和磁盘加密密钥 (DEK) 的详细信息,因此它实际上并不需要询问这些详细信息来解密当前加密的信息。
以下是来自 Microsoft Docs 的解密流程的详细信息:
如何通过 RBAC 保护磁盘不被禁用加密?
可以通过从 Azure 门户/PowerShell 等使用 RBAC分配(或删除)正确的角色(如所有者或虚拟机贡献者)来控制谁可以管理虚拟机或启动/禁用磁盘加密的真正问题。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句