为什么 Disable-AzureRmVMDiskEncryption 不需要密钥加密密钥或磁盘加密密钥 url
Why Disable-AzureRmVMDiskEncryption doesn't need either key encryption key or disk encryption key urls
Disable-AzureRmVMDiskEncryption cmdlet(我相信禁用 = 解密)只需要 VM 的名称即可禁用加密。
没有任何密钥禁用加密不是安全问题吗?如何通过 RBAC 保护磁盘免于禁用加密?
Isn't it a security issue disabling encryption without any key ?
它看起来不像是安全问题,因为这里有两个不同的问题:
保护静态数据 - 由 Azure 磁盘加密负责(仅当您根据 Azure 数据安全和加密最佳实践启用它时)
保护对 VM 本身及其资源的访问 - 这由 RBAC 负责。
当您禁用磁盘加密时
它确实确保当前加密的数据被解密并且不再在静态时加密。
由于 Azure 在您首先启用加密时就已经知道有关密钥加密密钥 (KEK) 和磁盘加密密钥 (DEK) 的详细信息,因此它实际上不需要询问这些详细信息为了解密当前加密的信息。
以下是来自 Microsoft Docs 的解密流程的详细信息:
How can the disks be safeguarded from disabling encryption, through
RBAC ?
谁可以管理一般 VM 或 initiate/disable 磁盘加密的真正问题可以通过分配(或删除)正确的角色来控制,例如 Owner or Virtual Machine Contributor 使用来自 Azure Portal/PowerShell 的 RBAC等等
Disable-AzureRmVMDiskEncryption cmdlet(我相信禁用 = 解密)只需要 VM 的名称即可禁用加密。
没有任何密钥禁用加密不是安全问题吗?如何通过 RBAC 保护磁盘免于禁用加密?
Isn't it a security issue disabling encryption without any key ?
它看起来不像是安全问题,因为这里有两个不同的问题:
保护静态数据 - 由 Azure 磁盘加密负责(仅当您根据 Azure 数据安全和加密最佳实践启用它时)
保护对 VM 本身及其资源的访问 - 这由 RBAC 负责。
当您禁用磁盘加密时
它确实确保当前加密的数据被解密并且不再在静态时加密。
由于 Azure 在您首先启用加密时就已经知道有关密钥加密密钥 (KEK) 和磁盘加密密钥 (DEK) 的详细信息,因此它实际上不需要询问这些详细信息为了解密当前加密的信息。
以下是来自 Microsoft Docs 的解密流程的详细信息:
How can the disks be safeguarded from disabling encryption, through RBAC ?
谁可以管理一般 VM 或 initiate/disable 磁盘加密的真正问题可以通过分配(或删除)正确的角色来控制,例如 Owner or Virtual Machine Contributor 使用来自 Azure Portal/PowerShell 的 RBAC等等